Foro de Informatica
" Hay la misma diferencia entre un sabio y un ignorante que entre un hombre vivo y un cadáver "

- Aristóteles -



        


Google
 
Web www.ComputerFacil.com
Forista del Mes:

amateos1404

Forum Rules Normas de los Foros
  Closed TopicStart new topicStart Poll

> Otro Con El Bho-kd
Suscribirse | Enviar por correo | Imprimir
paco2008
Publicado: Feb 4 2008, 11:37 PM
Quote Post


Nanobit
*

Grupo: Miembros
Mensajes: 5
Miembro nº: 34.940
Registrado: 4-February 08
ME entró este troyano el otro día y haga lo que haga me salta el avast diciendo que lo sigue encontrando.

YA no se qué hacer.

Intento pasarle el combofix pero no hay forma.

Este es el log:

ComboFix 08-01-29.3 - Administrador 2008-01-29 11:09:42.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.3082.18.157 [GMT 1:00]
Se ejecuta desde: C:\Antivirus\ComboFix.exe
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((( Archivos creados desde 2007-12-28 - 2008-01-29 )))))))))))))))))))))))))))))))))
.

2008-01-29 11:06 . 2008-01-29 11:08 <DIR> d-------- C:\Antivirus
2008-01-26 19:41 . 2008-01-26 19:41 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-26 19:41 . 2008-01-26 19:41 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-26 14:34 . 2008-01-26 14:34 0 --a------ C:\WINDOWS\uesviewer.INI
2008-01-26 10:40 . 2008-01-26 10:40 <DIR> d-------- C:\Archivos de programa\Alwil Software
2008-01-26 10:40 . 2003-03-18 21:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2008-01-26 10:40 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
2008-01-26 10:40 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2008-01-26 10:40 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2008-01-26 10:40 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2008-01-26 10:40 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2008-01-26 10:40 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2008-01-26 10:40 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2008-01-26 10:40 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2008-01-25 22:02 . 2008-01-26 00:28 <DIR> d-------- C:\Archivos de programa\SpyBro
2008-01-25 14:39 . 2008-01-25 14:40 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Lavasoft
2008-01-25 14:39 . 2008-01-25 14:39 <DIR> d-------- C:\Archivos de programa\Lavasoft
2008-01-25 14:38 . 2008-01-25 14:38 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-01-24 09:29 . 2008-01-24 09:29 170 --a------ C:\WINDOWS\system32\spupdsvc.inf
2008-01-23 23:53 . 2008-01-23 23:53 <DIR> d-------- C:\Documents and Settings\LocalService\Datos de programa\AVG7
2008-01-23 23:53 . 2008-01-23 23:53 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Grisoft
2008-01-23 23:53 . 2008-01-24 00:28 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\avg7
2008-01-23 23:53 . 2008-01-29 11:05 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\AVG7
2008-01-23 23:53 . 2008-01-23 23:53 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-01-23 23:53 . 2008-01-23 23:53 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-01-23 22:13 . 19,584 C:\WINDOWS\system32\drivers\nkjclpvb.dat
2008-01-23 22:10 . 1999-06-17 02:07 83,968 --a------ C:\WINDOWS\system32\Csp2os.dll
2008-01-23 22:10 . 2008-01-23 22:13 34,771 --a------ C:\WINDOWS\d445c1h3.exe
2008-01-22 19:26 . 2008-01-22 19:26 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\Panasonic
2008-01-22 19:21 . 2008-01-22 19:21 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\InstallShield
2008-01-22 19:21 . 2008-01-22 19:21 <DIR> d-------- C:\Archivos de programa\Panasonic
2008-01-21 10:40 . 2005-10-20 23:33 1,004,032 --a------ C:\WINDOWS\system32\esent.dll
2008-01-12 13:41 . 2008-01-12 13:41 <DIR> d-------- C:\WINDOWS\system32\bits
2008-01-08 20:23 . 2005-06-11 00:55 53,248 --a------ C:\WINDOWS\system32\spoolsv.exe
2008-01-08 10:31 . 2006-07-13 14:52 8,395,264 --a--c--- C:\WINDOWS\system32\dllcache\shell32.dll
2008-01-08 10:31 . 2004-08-20 22:53 703,488 --a------ C:\WINDOWS\system32\sxs.dll
2008-01-08 10:31 . 2004-08-20 22:53 703,488 --a--c--- C:\WINDOWS\system32\dllcache\sxs.dll
2008-01-08 10:31 . 2004-08-20 22:53 83,456 --a------ C:\WINDOWS\system32\fldrclnr.dll
2008-01-08 10:31 . 2004-08-20 22:53 83,456 --a--c--- C:\WINDOWS\system32\dllcache\fldrclnr.dll
2008-01-08 10:16 . 2004-07-01 23:05 360,960 --a--c--- C:\WINDOWS\system32\dllcache\qmgr.dll
2008-01-08 10:16 . 2004-07-01 23:05 331,776 --a------ C:\WINDOWS\system32\winhttp.dll
2008-01-08 10:16 . 2004-07-01 23:05 331,776 --a--c--- C:\WINDOWS\system32\dllcache\winhttp.dll
2008-01-08 10:16 . 2004-07-01 23:05 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2008-01-08 10:16 . 2004-07-01 23:05 17,408 --a--c--- C:\WINDOWS\system32\dllcache\qmgrprxy.dll
2008-01-08 10:16 . 2004-07-01 23:05 7,680 -----c--- C:\WINDOWS\system32\dllcache\bitsprx2.dll
2008-01-08 10:16 . 2004-07-01 23:05 7,680 --------- C:\WINDOWS\system32\bitsprx2.dll
2008-01-08 10:16 . 2004-07-01 23:05 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx3.dll
2008-01-08 10:16 . 2004-07-01 23:05 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2008-01-07 23:39 . 2008-01-10 22:06 96 --a------ C:\WINDOWS\WirelessFTP.INI
2008-01-07 23:32 . 2008-01-07 23:32 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SmartCom
2008-01-07 23:31 . 2006-08-04 16:16 241,664 --a------ C:\WINDOWS\system32\SerialPortLib.dll
2008-01-07 23:31 . 2006-08-04 16:17 65,536 --a------ C:\WINDOWS\system32\DragnDropCopyHook.dll
2008-01-07 23:23 . 2008-01-07 23:23 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\Apple Computer
2008-01-07 23:22 . 2008-01-26 11:29 <DIR> d-------- C:\Archivos de programa\QuickTime
2008-01-07 23:21 . 2008-01-07 23:22 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Apple Computer
2008-01-07 23:14 . 2008-01-07 23:14 <DIR> d-------- C:\Archivos de programa\SmartCom
2008-01-07 23:14 . 2008-01-07 23:14 0 --a------ C:\WINDOWS\tosOBEX.INI
2008-01-07 23:04 . 2008-01-07 23:04 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-01-07 23:04 . 2008-01-07 23:04 <DIR> d-------- C:\Archivos de programa\Toshiba
2008-01-07 23:04 . 2006-11-30 19:55 113,792 --a------ C:\WINDOWS\system32\drivers\tosrfbd.sys
2008-01-07 23:04 . 2006-10-05 16:07 73,600 --a------ C:\WINDOWS\system32\drivers\Tosrfhid.sys
2008-01-07 23:04 . 2005-08-01 16:45 64,896 --a------ C:\WINDOWS\system32\drivers\tosrfcom.sys
2008-01-07 23:04 . 2006-11-22 16:09 53,504 --a------ C:\WINDOWS\system32\drivers\TosRfSnd.sys
2008-01-07 23:04 . 2006-10-10 19:33 41,600 --a------ C:\WINDOWS\system32\drivers\tosporte.sys
2008-01-07 23:04 . 2006-10-28 00:29 40,960 --a------ C:\WINDOWS\system32\drivers\tosrfusb.sys
2008-01-07 23:04 . 2006-11-20 17:55 36,480 --a------ C:\WINDOWS\system32\drivers\tosrfbnp.sys
2008-01-07 23:04 . 2005-01-06 13:42 18,612 --a------ C:\WINDOWS\system32\drivers\tosrfnds.sys
2008-01-07 23:00 . 2008-01-07 23:37 <DIR> d-------- C:\Telefono Sagem
2008-01-05 12:20 . 2008-01-24 09:15 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-01-05 12:20 . 2005-06-28 09:21 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-25 11:15 --------- d-----w C:\Documents and Settings\Administrador\Datos de programa\MSN6
2008-01-22 18:21 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2007-11-30 16:17 --------- d-----w C:\Archivos de programa\Archivos comunes\Adobe
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EFBFCA1B-1D9B-42A1-89D3-9D5AE1E23DA5}]
1999-06-17 02:07 83968 --a------ C:\WINDOWS\System32\Csp2os.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-09-24 13:00 13312]
"MSMSGS"="C:\Archivos de programa\Messenger\msmsgs.exe" [2004-11-15 16:18 1670144]
"SpyBrowser"="C:\Archivos de programa\SpyBro\SpyBro.exe" [2007-03-01 13:21 4820480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AtiPTA"="atiptaxx.exe" [2002-07-26 03:04 290816 C:\WINDOWS\system32\atiptaxx.exe]
"SoundMan"="SOUNDMAN.EXE" [2003-06-10 12:12 55296 C:\WINDOWS\SOUNDMAN.EXE]
"PE2CKFNT SE"="C:\Archivos de programa\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe" [1998-07-03 11:51 25088]
"Ulead Photo Express Verificador de Calendario"="C:\Archivos de programa\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe" [2004-01-12 19:40 69632]
"Ulead AutoDetector"="C:\Archivos de programa\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe" [2003-11-19 12:03 45056]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2007-04-27 09:41 282624]
"AVG7_CC"="C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe" [2008-01-23 23:53 579072]
"avast!"="C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-09-24 13:00 13312]
"AVG7_Run"="C:\ARCHIV~1\Grisoft\AVG7\avgw.exe" [2008-01-23 23:53 219136]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\reset5]
reset5.dll

R0 viasraid;viasraid;C:\WINDOWS\System32\DRIVERS\viasraid.sys [2003-06-12 11:31]
R0 xnkiycul;xnkiycul;C:\WINDOWS\System32\drivers\nkjclpvb.dat []
R2 ScFBPNT2;CanoScan FBP2 Port Driver;C:\WINDOWS\System32\drivers\ScFBPNT2.SYS [1999-05-21 00:00]
R2 TOSHIBA Bluetooth Service;TOSHIBA Bluetooth Service;C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe [2006-10-31 22:40]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-29 11:14:16
Windows 5.1.2600 Service Pack 1 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\srvany.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\system32\resetservice.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
C:\Archivos de programa\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Archivos de programa\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\Archivos de programa\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
C:\Archivos de programa\VIA\RAID\raid_tool.exe
C:\WINDOWS\system32\ntvdm.exe
C:\OPLIMIT\ocrawr32.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosAVRC.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
.
**************************************************************************
.
Tiempo completado: 2008-01-29 11:15:36 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-29 10:15:27
.
2008-01-24 08:39:12 --- E O F ---




PMEmail Poster
Top
dejavi
Publicado: Feb 5 2008, 12:12 AM
Quote Post


Tera user
Group Icon

Grupo: _Moderadores_
Mensajes: 3.657
Miembro nº: 17.695
Registrado: 18-January 07
QUOTE (paco2008 @ Feb 4 2008, 11:37 PM)
ME entró este troyano el otro día y haga lo que haga me salta el avast diciendo que lo sigue encontrando.

YA no se qué hacer.

Intento pasarle el combofix pero no hay forma.

Este es el log:

ComboFix 08-01-29.3 - Administrador 2008-01-29 11:09:42.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.3082.18.157 [GMT 1:00]
Se ejecuta desde: C:\Antivirus\ComboFix.exe
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((( Archivos creados desde 2007-12-28 - 2008-01-29 )))))))))))))))))))))))))))))))))
.

2008-01-29 11:06 . 2008-01-29 11:08 <DIR> d-------- C:\Antivirus
2008-01-26 19:41 . 2008-01-26 19:41 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-26 19:41 . 2008-01-26 19:41 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-26 14:34 . 2008-01-26 14:34 0 --a------ C:\WINDOWS\uesviewer.INI
2008-01-26 10:40 . 2008-01-26 10:40 <DIR> d-------- C:\Archivos de programa\Alwil Software
2008-01-26 10:40 . 2003-03-18 21:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2008-01-26 10:40 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
2008-01-26 10:40 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2008-01-26 10:40 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2008-01-26 10:40 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2008-01-26 10:40 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2008-01-26 10:40 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2008-01-26 10:40 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2008-01-26 10:40 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2008-01-25 22:02 . 2008-01-26 00:28 <DIR> d-------- C:\Archivos de programa\SpyBro
2008-01-25 14:39 . 2008-01-25 14:40 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Lavasoft
2008-01-25 14:39 . 2008-01-25 14:39 <DIR> d-------- C:\Archivos de programa\Lavasoft
2008-01-25 14:38 . 2008-01-25 14:38 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-01-24 09:29 . 2008-01-24 09:29 170 --a------ C:\WINDOWS\system32\spupdsvc.inf
2008-01-23 23:53 . 2008-01-23 23:53 <DIR> d-------- C:\Documents and Settings\LocalService\Datos de programa\AVG7
2008-01-23 23:53 . 2008-01-23 23:53 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Grisoft
2008-01-23 23:53 . 2008-01-24 00:28 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\avg7
2008-01-23 23:53 . 2008-01-29 11:05 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\AVG7
2008-01-23 23:53 . 2008-01-23 23:53 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-01-23 23:53 . 2008-01-23 23:53 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-01-23 22:13 . 19,584 C:\WINDOWS\system32\drivers\nkjclpvb.dat
2008-01-23 22:10 . 1999-06-17 02:07 83,968 --a------ C:\WINDOWS\system32\Csp2os.dll
2008-01-23 22:10 . 2008-01-23 22:13 34,771 --a------ C:\WINDOWS\d445c1h3.exe
2008-01-22 19:26 . 2008-01-22 19:26 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\Panasonic
2008-01-22 19:21 . 2008-01-22 19:21 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\InstallShield
2008-01-22 19:21 . 2008-01-22 19:21 <DIR> d-------- C:\Archivos de programa\Panasonic
2008-01-21 10:40 . 2005-10-20 23:33 1,004,032 --a------ C:\WINDOWS\system32\esent.dll
2008-01-12 13:41 . 2008-01-12 13:41 <DIR> d-------- C:\WINDOWS\system32\bits
2008-01-08 20:23 . 2005-06-11 00:55 53,248 --a------ C:\WINDOWS\system32\spoolsv.exe
2008-01-08 10:31 . 2006-07-13 14:52 8,395,264 --a--c--- C:\WINDOWS\system32\dllcache\shell32.dll
2008-01-08 10:31 . 2004-08-20 22:53 703,488 --a------ C:\WINDOWS\system32\sxs.dll
2008-01-08 10:31 . 2004-08-20 22:53 703,488 --a--c--- C:\WINDOWS\system32\dllcache\sxs.dll
2008-01-08 10:31 . 2004-08-20 22:53 83,456 --a------ C:\WINDOWS\system32\fldrclnr.dll
2008-01-08 10:31 . 2004-08-20 22:53 83,456 --a--c--- C:\WINDOWS\system32\dllcache\fldrclnr.dll
2008-01-08 10:16 . 2004-07-01 23:05 360,960 --a--c--- C:\WINDOWS\system32\dllcache\qmgr.dll
2008-01-08 10:16 . 2004-07-01 23:05 331,776 --a------ C:\WINDOWS\system32\winhttp.dll
2008-01-08 10:16 . 2004-07-01 23:05 331,776 --a--c--- C:\WINDOWS\system32\dllcache\winhttp.dll
2008-01-08 10:16 . 2004-07-01 23:05 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2008-01-08 10:16 . 2004-07-01 23:05 17,408 --a--c--- C:\WINDOWS\system32\dllcache\qmgrprxy.dll
2008-01-08 10:16 . 2004-07-01 23:05 7,680 -----c--- C:\WINDOWS\system32\dllcache\bitsprx2.dll
2008-01-08 10:16 . 2004-07-01 23:05 7,680 --------- C:\WINDOWS\system32\bitsprx2.dll
2008-01-08 10:16 . 2004-07-01 23:05 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx3.dll
2008-01-08 10:16 . 2004-07-01 23:05 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2008-01-07 23:39 . 2008-01-10 22:06 96 --a------ C:\WINDOWS\WirelessFTP.INI
2008-01-07 23:32 . 2008-01-07 23:32 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SmartCom
2008-01-07 23:31 . 2006-08-04 16:16 241,664 --a------ C:\WINDOWS\system32\SerialPortLib.dll
2008-01-07 23:31 . 2006-08-04 16:17 65,536 --a------ C:\WINDOWS\system32\DragnDropCopyHook.dll
2008-01-07 23:23 . 2008-01-07 23:23 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\Apple Computer
2008-01-07 23:22 . 2008-01-26 11:29 <DIR> d-------- C:\Archivos de programa\QuickTime
2008-01-07 23:21 . 2008-01-07 23:22 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Apple Computer
2008-01-07 23:14 . 2008-01-07 23:14 <DIR> d-------- C:\Archivos de programa\SmartCom
2008-01-07 23:14 . 2008-01-07 23:14 0 --a------ C:\WINDOWS\tosOBEX.INI
2008-01-07 23:04 . 2008-01-07 23:04 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-01-07 23:04 . 2008-01-07 23:04 <DIR> d-------- C:\Archivos de programa\Toshiba
2008-01-07 23:04 . 2006-11-30 19:55 113,792 --a------ C:\WINDOWS\system32\drivers\tosrfbd.sys
2008-01-07 23:04 . 2006-10-05 16:07 73,600 --a------ C:\WINDOWS\system32\drivers\Tosrfhid.sys
2008-01-07 23:04 . 2005-08-01 16:45 64,896 --a------ C:\WINDOWS\system32\drivers\tosrfcom.sys
2008-01-07 23:04 . 2006-11-22 16:09 53,504 --a------ C:\WINDOWS\system32\drivers\TosRfSnd.sys
2008-01-07 23:04 . 2006-10-10 19:33 41,600 --a------ C:\WINDOWS\system32\drivers\tosporte.sys
2008-01-07 23:04 . 2006-10-28 00:29 40,960 --a------ C:\WINDOWS\system32\drivers\tosrfusb.sys
2008-01-07 23:04 . 2006-11-20 17:55 36,480 --a------ C:\WINDOWS\system32\drivers\tosrfbnp.sys
2008-01-07 23:04 . 2005-01-06 13:42 18,612 --a------ C:\WINDOWS\system32\drivers\tosrfnds.sys
2008-01-07 23:00 . 2008-01-07 23:37 <DIR> d-------- C:\Telefono Sagem
2008-01-05 12:20 . 2008-01-24 09:15 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-01-05 12:20 . 2005-06-28 09:21 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-25 11:15 --------- d-----w C:\Documents and Settings\Administrador\Datos de programa\MSN6
2008-01-22 18:21 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2007-11-30 16:17 --------- d-----w C:\Archivos de programa\Archivos comunes\Adobe
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EFBFCA1B-1D9B-42A1-89D3-9D5AE1E23DA5}]
1999-06-17 02:07 83968 --a------ C:\WINDOWS\System32\Csp2os.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-09-24 13:00 13312]
"MSMSGS"="C:\Archivos de programa\Messenger\msmsgs.exe" [2004-11-15 16:18 1670144]
"SpyBrowser"="C:\Archivos de programa\SpyBro\SpyBro.exe" [2007-03-01 13:21 4820480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AtiPTA"="atiptaxx.exe" [2002-07-26 03:04 290816 C:\WINDOWS\system32\atiptaxx.exe]
"SoundMan"="SOUNDMAN.EXE" [2003-06-10 12:12 55296 C:\WINDOWS\SOUNDMAN.EXE]
"PE2CKFNT SE"="C:\Archivos de programa\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe" [1998-07-03 11:51 25088]
"Ulead Photo Express Verificador de Calendario"="C:\Archivos de programa\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe" [2004-01-12 19:40 69632]
"Ulead AutoDetector"="C:\Archivos de programa\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe" [2003-11-19 12:03 45056]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2007-04-27 09:41 282624]
"AVG7_CC"="C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe" [2008-01-23 23:53 579072]
"avast!"="C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-09-24 13:00 13312]
"AVG7_Run"="C:\ARCHIV~1\Grisoft\AVG7\avgw.exe" [2008-01-23 23:53 219136]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\reset5]
reset5.dll

R0 viasraid;viasraid;C:\WINDOWS\System32\DRIVERS\viasraid.sys [2003-06-12 11:31]
R0 xnkiycul;xnkiycul;C:\WINDOWS\System32\drivers\nkjclpvb.dat []
R2 ScFBPNT2;CanoScan FBP2 Port Driver;C:\WINDOWS\System32\drivers\ScFBPNT2.SYS [1999-05-21 00:00]
R2 TOSHIBA Bluetooth Service;TOSHIBA Bluetooth Service;C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe [2006-10-31 22:40]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-29 11:14:16
Windows 5.1.2600 Service Pack 1 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\srvany.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\system32\resetservice.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
C:\Archivos de programa\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Archivos de programa\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\Archivos de programa\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
C:\Archivos de programa\VIA\RAID\raid_tool.exe
C:\WINDOWS\system32\ntvdm.exe
C:\OPLIMIT\ocrawr32.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosAVRC.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
.
**************************************************************************
.
Tiempo completado: 2008-01-29 11:15:36 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-29 10:15:27
.
2008-01-24 08:39:12 --- E O F ---

050208.



Prueba con lo siguiente:

Elimina los archivos temporales de Internet(ve a barra de herramientas / Herramientas / Opciones de Internet / Eliminar cookies y eliminar archivos...)
1.Usa tu CCleaner que es un buen limpiador:
http://ccleaner.softonic.com/
Borra todas las Cookies y el registro con el (Apenas descargués el CCleaner clikea donde dice "ejecutar limpiador") Te lo preguntara de nuevo, no te preocupes tu solo acepta................
2. Vete a Inicio / Panel de Control / Java y elimina todos los archivos temporales. (Si utilizas JAVA)...........................
3. Escanea tu ordenador con este antivirus, el AVG Antispyware:
http://www.ewido.net/en/download/
Actualízalo donde te da esa opción una vez ejecutado el programa y empieza el escaneo. Elimina todos los virus que encuentre una vez finalizado el escaneo.
Eso debe acabar con el problema de spywares
Si quieres asegurarte:
4. Intenta también con estos escaners en línea:
http://www.bitdefender.com/scan8/ie.html
Y también este Nod32 en línea:
http://www.nod32.com.uy/online-scanner/
Acepta todos los activeX, pon que eliminen lo que encuentre y escanea
Si en caso te siguen apareciendo usa el Kaspersky Antivirus 7.0, es realmente bueno:
http://www.kaspersky.com/sp/trials?K_Dow...
Te da la opción de eliminar los virus, troyanos, spywares, y todos los archivos infectados que tengas...
Puedes en todo caso probar con el Spybot, otro muy bueno eliminando amenazas:
http://spybot-search-destroy.softonic.co...
Tienes que actualizarlo también
Luego reinicia tu ordenador y comentas como te fue........................

Bienvenido al foro...........


bye1.gif


¿Quieres ganar dinero escribiendo sobre tus aficiones? - www.Redactores.es



--------------------
user posted image
PMEmail Poster
Top
angel Doze
Publicado: Feb 5 2008, 08:46 AM
Quote Post


Principiante bit
**

Grupo: Miembros
Mensajes: 43
Miembro nº: 24.862
Registrado: 3-July 07
Hola.

Con el Debido permiso Dejavi !

paco2008 Combofix , muestra cosas que no se pueden dejar pasar , asi que realiza lo siguiente:

1.-Abrir el Notepad (Bloc de Notas)
  • Ir a INICIO > EJECUTAR >
  • Y ahí pones notepad.exe y ACEPTAR
2.-Ahora copia y pega estos archivos dentro del Notepad

CODE
KillAll::

File::
C:\WINDOWS\uesviewer.INI
C:\WINDOWS\system32\aswBoot.exe
C:\WINDOWS\system32\drivers\nkjclpvb.dat
C:\WINDOWS\system32\Csp2os.dll
C:\WINDOWS\d445c1h3.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\dllcache\shell32.dll


Folder::
C:\Archivos de programa\SpyBro



3.- Graba este archivo con el nombre CFScript.txt y déjalo en tu escritorio.

4.- Arrastrar y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.

user posted image
  • Reinicia tu PC y nos dejas un el nuevo reporte de ComboFix y PANDA, comentándonos como esta funcionado todo actualmente?

Tamabien...
  • Descarga y ejecuta Hijackthis
    • Presiona Sobre "Do a System scan and save logfile"
    • Espera El Log que genera.
    • Copias y pegas aqui el contenido.
Salu2!
Me cuentas!

Mensaje modificado por angel Doze el Feb 5 2008, 08:47 AM




PMEmail PosterUsers Website
Top
paco2008
Publicado: Feb 5 2008, 09:19 AM
Quote Post


Nanobit
*

Grupo: Miembros
Mensajes: 5
Miembro nº: 34.940
Registrado: 4-February 08
Muchas gracias a los dos.

Voy a intentar primero lo del combo al reportar gente la solución con éste.

Y luego lo otro.

Gracias por la bienvenida al foro!!!!


Un Saludo.
PMEmail Poster
Top
paco2008
Publicado: Feb 6 2008, 09:31 AM
Quote Post


Nanobit
*

Grupo: Miembros
Mensajes: 5
Miembro nº: 34.940
Registrado: 4-February 08
No hay forma. Hago el CFScript.txt según instrucciones y siguen apareciendo el mismo dll infectado incluso todos los archivos del killfile del script, incluso los que no están residentes y se borran facilmente desde el explorador de windows.

El que salta la alarma del avast es el archivo Csp2os.dll.

HE pasado el ccleaner, y el AVG y el bitdefender por ahora no ha encontrado nada ni borrado nada por consiguiente.

sleepy.gif

Nada más pasar el cfscript al combo este es el log que me aparece:

QUOTE
ComboFix 08-01-29.3 - Administrador 2008-01-29 11:09:42.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.1.1252.1.3082.18.157 [GMT 1:00]
Se ejecuta desde: C:\Antivirus\ComboFix.exe
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

((((((((((((((((((  Archivos creados desde 2007-12-28 - 2008-01-29  )))))))))))))))))))))))))))))))))
.

2008-01-29 11:06 . 2008-01-29 11:08 <DIR> d-------- C:\Antivirus
2008-01-26 19:41 . 2008-01-26 19:41 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-26 19:41 . 2008-01-26 19:41 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-26 14:34 . 2008-01-26 14:34 0 --a------ C:\WINDOWS\uesviewer.INI
2008-01-26 10:40 . 2008-01-26 10:40 <DIR> d-------- C:\Archivos de programa\Alwil Software
2008-01-26 10:40 . 2003-03-18 21:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2008-01-26 10:40 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
2008-01-26 10:40 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2008-01-26 10:40 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2008-01-26 10:40 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2008-01-26 10:40 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2008-01-26 10:40 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2008-01-26 10:40 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2008-01-26 10:40 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2008-01-25 22:02 . 2008-01-26 00:28 <DIR> d-------- C:\Archivos de programa\SpyBro
2008-01-25 14:39 . 2008-01-25 14:40 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Lavasoft
2008-01-25 14:39 . 2008-01-25 14:39 <DIR> d-------- C:\Archivos de programa\Lavasoft
2008-01-25 14:38 . 2008-01-25 14:38 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-01-24 09:29 . 2008-01-24 09:29 170 --a------ C:\WINDOWS\system32\spupdsvc.inf
2008-01-23 23:53 . 2008-01-23 23:53 <DIR> d-------- C:\Documents and Settings\LocalService\Datos de programa\AVG7
2008-01-23 23:53 . 2008-01-23 23:53 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Grisoft
2008-01-23 23:53 . 2008-01-24 00:28 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\avg7
2008-01-23 23:53 . 2008-01-29 11:05 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\AVG7
2008-01-23 23:53 . 2008-01-23 23:53 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-01-23 23:53 . 2008-01-23 23:53 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-01-23 22:13 .  19,584  C:\WINDOWS\system32\drivers\nkjclpvb.dat
2008-01-23 22:10 . 1999-06-17 02:07 83,968 --a------ C:\WINDOWS\system32\Csp2os.dll
2008-01-23 22:10 . 2008-01-23 22:13 34,771 --a------ C:\WINDOWS\d445c1h3.exe
2008-01-22 19:26 . 2008-01-22 19:26 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\Panasonic
2008-01-22 19:21 . 2008-01-22 19:21 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\InstallShield
2008-01-22 19:21 . 2008-01-22 19:21 <DIR> d-------- C:\Archivos de programa\Panasonic
2008-01-21 10:40 . 2005-10-20 23:33 1,004,032 --a------ C:\WINDOWS\system32\esent.dll
2008-01-12 13:41 . 2008-01-12 13:41 <DIR> d-------- C:\WINDOWS\system32\bits
2008-01-08 20:23 . 2005-06-11 00:55 53,248 --a------ C:\WINDOWS\system32\spoolsv.exe
2008-01-08 10:31 . 2006-07-13 14:52 8,395,264 --a--c--- C:\WINDOWS\system32\dllcache\shell32.dll
2008-01-08 10:31 . 2004-08-20 22:53 703,488 --a------ C:\WINDOWS\system32\sxs.dll
2008-01-08 10:31 . 2004-08-20 22:53 703,488 --a--c--- C:\WINDOWS\system32\dllcache\sxs.dll
2008-01-08 10:31 . 2004-08-20 22:53 83,456 --a------ C:\WINDOWS\system32\fldrclnr.dll
2008-01-08 10:31 . 2004-08-20 22:53 83,456 --a--c--- C:\WINDOWS\system32\dllcache\fldrclnr.dll
2008-01-08 10:16 . 2004-07-01 23:05 360,960 --a--c--- C:\WINDOWS\system32\dllcache\qmgr.dll
2008-01-08 10:16 . 2004-07-01 23:05 331,776 --a------ C:\WINDOWS\system32\winhttp.dll
2008-01-08 10:16 . 2004-07-01 23:05 331,776 --a--c--- C:\WINDOWS\system32\dllcache\winhttp.dll
2008-01-08 10:16 . 2004-07-01 23:05 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2008-01-08 10:16 . 2004-07-01 23:05 17,408 --a--c--- C:\WINDOWS\system32\dllcache\qmgrprxy.dll
2008-01-08 10:16 . 2004-07-01 23:05 7,680 -----c--- C:\WINDOWS\system32\dllcache\bitsprx2.dll
2008-01-08 10:16 . 2004-07-01 23:05 7,680 --------- C:\WINDOWS\system32\bitsprx2.dll
2008-01-08 10:16 . 2004-07-01 23:05 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx3.dll
2008-01-08 10:16 . 2004-07-01 23:05 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2008-01-07 23:39 . 2008-01-10 22:06 96 --a------ C:\WINDOWS\WirelessFTP.INI
2008-01-07 23:32 . 2008-01-07 23:32 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SmartCom
2008-01-07 23:31 . 2006-08-04 16:16 241,664 --a------ C:\WINDOWS\system32\SerialPortLib.dll
2008-01-07 23:31 . 2006-08-04 16:17 65,536 --a------ C:\WINDOWS\system32\DragnDropCopyHook.dll
2008-01-07 23:23 . 2008-01-07 23:23 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\Apple Computer
2008-01-07 23:22 . 2008-01-26 11:29 <DIR> d-------- C:\Archivos de programa\QuickTime
2008-01-07 23:21 . 2008-01-07 23:22 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Apple Computer
2008-01-07 23:14 . 2008-01-07 23:14 <DIR> d-------- C:\Archivos de programa\SmartCom
2008-01-07 23:14 . 2008-01-07 23:14 0 --a------ C:\WINDOWS\tosOBEX.INI
2008-01-07 23:04 . 2008-01-07 23:04 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-01-07 23:04 . 2008-01-07 23:04 <DIR> d-------- C:\Archivos de programa\Toshiba
2008-01-07 23:04 . 2006-11-30 19:55 113,792 --a------ C:\WINDOWS\system32\drivers\tosrfbd.sys
2008-01-07 23:04 . 2006-10-05 16:07 73,600 --a------ C:\WINDOWS\system32\drivers\Tosrfhid.sys
2008-01-07 23:04 . 2005-08-01 16:45 64,896 --a------ C:\WINDOWS\system32\drivers\tosrfcom.sys
2008-01-07 23:04 . 2006-11-22 16:09 53,504 --a------ C:\WINDOWS\system32\drivers\TosRfSnd.sys
2008-01-07 23:04 . 2006-10-10 19:33 41,600 --a------ C:\WINDOWS\system32\drivers\tosporte.sys
2008-01-07 23:04 . 2006-10-28 00:29 40,960 --a------ C:\WINDOWS\system32\drivers\tosrfusb.sys
2008-01-07 23:04 . 2006-11-20 17:55 36,480 --a------ C:\WINDOWS\system32\drivers\tosrfbnp.sys
2008-01-07 23:04 . 2005-01-06 13:42 18,612 --a------ C:\WINDOWS\system32\drivers\tosrfnds.sys
2008-01-07 23:00 . 2008-01-07 23:37 <DIR> d-------- C:\Telefono Sagem
2008-01-05 12:20 . 2008-01-24 09:15 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-01-05 12:20 . 2005-06-28 09:21 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe

.
((((((((((((((((((((((((((((((((((((((  Reporte Find3M  )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-25 11:15 --------- d-----w C:\Documents and Settings\Administrador\Datos de programa\MSN6
2008-01-22 18:21 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2007-11-30 16:17 --------- d-----w C:\Archivos de programa\Archivos comunes\Adobe
.

(((((((((((((((((((((((((((((((((  Cargando Puntos Reg  ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EFBFCA1B-1D9B-42A1-89D3-9D5AE1E23DA5}]
1999-06-17 02:07 83968 --a------ C:\WINDOWS\System32\Csp2os.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-09-24 13:00 13312]
"MSMSGS"="C:\Archivos de programa\Messenger\msmsgs.exe" [2004-11-15 16:18 1670144]
"SpyBrowser"="C:\Archivos de programa\SpyBro\SpyBro.exe" [2007-03-01 13:21 4820480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AtiPTA"="atiptaxx.exe" [2002-07-26 03:04 290816 C:\WINDOWS\system32\atiptaxx.exe]
"SoundMan"="SOUNDMAN.EXE" [2003-06-10 12:12 55296 C:\WINDOWS\SOUNDMAN.EXE]
"PE2CKFNT SE"="C:\Archivos de programa\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe" [1998-07-03 11:51 25088]
"Ulead Photo Express Verificador de Calendario"="C:\Archivos de programa\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe" [2004-01-12 19:40 69632]
"Ulead AutoDetector"="C:\Archivos de programa\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe" [2003-11-19 12:03 45056]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2007-04-27 09:41 282624]
"AVG7_CC"="C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe" [2008-01-23 23:53 579072]
"avast!"="C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-09-24 13:00 13312]
"AVG7_Run"="C:\ARCHIV~1\Grisoft\AVG7\avgw.exe" [2008-01-23 23:53 219136]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\reset5]
reset5.dll

R0 viasraid;viasraid;C:\WINDOWS\System32\DRIVERS\viasraid.sys [2003-06-12 11:31]
R0 xnkiycul;xnkiycul;C:\WINDOWS\System32\drivers\nkjclpvb.dat []
R2 ScFBPNT2;CanoScan FBP2 Port Driver;C:\WINDOWS\System32\drivers\ScFBPNT2.SYS [1999-05-21 00:00]
R2 TOSHIBA Bluetooth Service;TOSHIBA Bluetooth Service;C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe [2006-10-31 22:40]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-29 11:14:16
Windows 5.1.2600 Service Pack 1 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\srvany.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\system32\resetservice.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
C:\Archivos de programa\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Archivos de programa\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\Archivos de programa\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
C:\Archivos de programa\VIA\RAID\raid_tool.exe
C:\WINDOWS\system32\ntvdm.exe
C:\OPLIMIT\ocrawr32.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosAVRC.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
.
**************************************************************************
.
Tiempo completado: 2008-01-29 11:15:36 - machine was rebooted
ComboFix-quarantined-files.txt  2008-01-29 10:15:27
.
2008-01-24 08:39:12 --- E O F --- 


Al pasar el hijackthis no parece que haga nada en el "fix" y este es el log que aparece:

QUOTE
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:37:31, on 05/02/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
C:\Archivos de programa\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\Archivos de programa\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
C:\Archivos de programa\VIA\RAID\raid_tool.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\resetservice.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\OPLIMIT\ocrawr32.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Antivirus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ciao.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {EFBFCA1B-1D9B-42A1-89D3-9D5AE1E23DA5} - C:\WINDOWS\System32\Csp2os.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Archivos de programa\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Ulead Photo Express Verificador de Calendario] C:\Archivos de programa\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Archivos de programa\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\ARCHIV~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OCRAWARE.lnk = C:\OPLIMIT\OCRAWARE.EXE
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Archivos de programa\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
O4 - Global Startup: raid_tool.exe.lnk = C:\Archivos de programa\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {525019DF-8282-40DC-A0E0-13C076889F66} (InstallerSf Control) - http://especiales.softonic.com/sinespias/installer.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: reset5 - reset5.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe (file missing)
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

--
End of file - 6726 bytes


He intentado tambien borrar el Csp2os.dll con el unlocker sin resultado, incluso iniciando a modeo de prueba de fallos.

sleepy.gif sleepy.gif

SENCILLAMENTE SE HA ENQUISTADO EN EL DISCO DURO!!!!!

Un saludo.
PMEmail Poster
Top
angel Doze
Publicado: Feb 6 2008, 06:57 PM
Quote Post


Principiante bit
**

Grupo: Miembros
Mensajes: 43
Miembro nº: 24.862
Registrado: 3-July 07
Hola....

Creo que no ejecutaste bien el combofix , con el script , ya que el combo no muestra que se haya iniciado bajo un script.txt

QUOTE

ComboFix 08-01-29.3 - Administrador 2008-01-29 11:09:42.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.1.1252.1.3082.18.157 [GMT 1:00]
Se ejecuta desde: C:\Antivirus\ComboFix.exe
* Creado un nuevo punto de restauración


En lo que te resalto en negritas tenia que decir algo asi como i
Command switches used :: C:\Documents and Settings\xxx\Escritorio\CFScript.txt

Vamos a revisar el log de hijackthis!


Con todo cerrado ,Ejecuta Hijackthis y dale "FixChequed" , alas siguientes entradas ...!

O2 - BHO: (no name) - {EFBFCA1B-1D9B-42A1-89D3-9D5AE1E23DA5} - C:\WINDOWS\System32\Csp2os.dll
O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart
Unknown
O16 - DPF: {525019DF-8282-40DC-A0E0-13C076889F66} (InstallerSf Control) - http://especiales.softonic.com/sinespias/installer.cab
O20 - Winlogon Notify: reset5 - reset5.dll (file missing)


Tambien....

1.-Abrir el Notepad (Bloc de Notas)
  • Ir a INICIO > EJECUTAR >
  • Y ahí pones notepad.exe y ACEPTAR
2.-Ahora copia y pega estos archivos dentro del Notepad

CODE

KillAll::

File::
C:\WINDOWS\uesviewer.INI
C:\WINDOWS\system32\aswBoot.exe
C:\WINDOWS\system32\drivers\nkjclpvb.dat
C:\WINDOWS\system32\Csp2os.dll
C:\WINDOWS\d445c1h3.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\dllcache\shell32.dll


Folder::
C:\Archivos de programa\SpyBro




3.- Graba este archivo con el nombre CFScript.txt y déjalo en tu escritorio.

4.- Arrastrar y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.

user posted image

  • Reinicia tu PC y nos dejas un el nuevo reporte de ComboFix y , comentándonos como esta funcionado todo actualmente?

salu2!
PMEmail PosterUsers Website
Top
paco2008
Publicado: Feb 6 2008, 10:26 PM
Quote Post


Nanobit
*

Grupo: Miembros
Mensajes: 5
Miembro nº: 34.940
Registrado: 4-February 08
Si si sisiiiiiiiiiiiiiiiiiiiiiiiiii!!!!!

Ya ha eliminado el dll infectado!!

ME bajé de nuevo el combo y lo instale directamente en el escritorio y el script lo guarde tambien en el escritorio con las comillas incluidas "CFScript.txt".

Ahora pego los reportes del combo y del hijackthis pero me mosquea que ahora uno de los archivos eliminados aparecen ahora en dllcache de windows system32 y oculto en el sistema. Hablo del "spoolsv.exe".

Gracias por todo angel12!!!

QUOTE
ComboFix 08-02.05.3 - Administrador 2008-02-06 21:31:50.14 - NTFSx86

Se ejecuta desde: C:\Documents and Settings\Administrador\Escritorio\ComboFix.exe
Command switches used :: C:\Documents and Settings\Administrador\Escritorio\CFScript.txt
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!

FILE
C:\WINDOWS\d445c1h3.exe
C:\WINDOWS\system32\aswBoot.exe
C:\WINDOWS\system32\Csp2os.dll
C:\WINDOWS\system32\dllcache\shell32.dll
C:\WINDOWS\system32\drivers\nkjclpvb.dat
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\uesviewer.INI
.

((((((((((((((((((((((((((((((((((((  Otras eliminaciones  )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\aswBoot.exe
C:\WINDOWS\system32\Csp2os.dll
C:\WINDOWS\system32\dllcache\shell32.dll
C:\WINDOWS\system32\drivers\nkjclpvb.dat
C:\WINDOWS\system32\spoolsv.exe

.
((((((((((((((((((  Archivos creados desde 2008-01-06 - 2008-02-06  )))))))))))))))))))))))))))))))))
.

2008-02-06 10:05 . 2008-02-06 10:42 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2008-02-06 09:43 . 2008-02-06 09:43 <DIR> d-------- C:\kav
2008-02-06 00:49 . 2008-02-06 11:15 <DIR> d-------- C:\Archivos de programa\EsetOnlineScanner
2008-02-06 00:44 . 2008-02-06 00:44 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Yahoo! Companion
2008-02-06 00:20 . 2008-02-06 10:45 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-02-06 00:15 . 2008-02-06 00:15 <DIR> d-------- C:\Archivos de programa\Yahoo!
2008-02-06 00:15 . 2008-02-06 00:15 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-02-03 23:34 . 2008-02-03 23:34 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\ESET
2008-02-03 23:34 . 2008-02-03 23:34 <DIR> d-------- C:\Archivos de programa\ESET
2008-02-03 23:28 . 2008-02-03 23:41 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Panda Software
2008-02-03 02:23 . 2008-02-03 02:23 401 --a------ C:\Acceso directo a ComboFix.lnk
2008-02-03 02:02 . 2008-02-03 02:36 145,184 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-02-03 02:02 . 2008-02-03 02:36 7,200 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-02-03 02:02 . 2008-02-03 02:36 3,020 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-02-03 02:02 . 2008-02-03 02:36 1,748 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-02-03 01:28 . 2008-02-03 01:32 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2008-02-03 01:28 . 2008-02-03 20:05 30,590 --a------ C:\WINDOWS\system32\pavas.ico
2008-02-03 01:28 . 2008-02-03 20:05 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-02-03 01:28 . 2008-02-03 20:05 1,406 --a------ C:\WINDOWS\system32\Help.ico
2008-02-03 01:19 . 2008-02-03 01:19 512 --a------ C:\ScanSectorLog.dat
2008-02-03 00:54 . 2004-04-27 04:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2008-02-03 00:54 . 2008-02-03 01:01 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-02-03 00:53 . 2008-02-03 02:38 <DIR> d-------- C:\WINDOWS\Internet Logs
2008-02-02 23:11 . 2008-02-06 00:54 <DIR> d-------- C:\Archivos de programa\Unlocker
2008-01-29 11:15 . 2008-02-06 21:34 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configuración local
2008-01-29 11:15 . 2008-02-06 21:34 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuración local
2008-01-29 11:15 . 2008-02-06 21:34 <DIR> d-------- C:\Documents and Settings\LocalService\Configuración local
2008-01-29 11:15 . 2008-02-06 21:34 <DIR> d-------- C:\Documents and Settings\Default User\Configuración local
2008-01-29 11:15 . 2008-02-06 21:34 <DIR> d-------- C:\Documents and Settings\Administrador\Configuración local
2008-01-29 11:06 . 2008-02-06 21:19 <DIR> d-------- C:\Antivirus
2008-01-26 10:40 . 2008-01-26 10:40 <DIR> d-------- C:\Archivos de programa\Alwil Software
2008-01-26 10:40 . 2003-03-18 21:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2008-01-26 10:40 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2008-01-26 10:40 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2008-01-26 10:40 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2008-01-26 10:40 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2008-01-26 10:40 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2008-01-26 10:40 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2008-01-26 10:40 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2008-01-25 14:39 . 2008-01-25 14:40 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Lavasoft
2008-01-25 14:39 . 2008-01-25 14:39 <DIR> d-------- C:\Archivos de programa\Lavasoft
2008-01-25 14:38 . 2008-01-25 14:38 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-01-24 09:29 . 2008-01-24 09:29 170 --a------ C:\WINDOWS\system32\spupdsvc.inf
2008-01-23 23:53 . 2008-01-23 23:53 <DIR> d-------- C:\Documents and Settings\LocalService\Datos de programa\AVG7
2008-01-23 23:53 . 2008-01-23 23:53 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Grisoft
2008-01-23 23:53 . 2008-01-24 00:28 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\avg7
2008-01-23 23:53 . 2008-02-06 12:43 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\AVG7
2008-01-23 23:53 . 2008-01-23 23:53 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-01-23 23:53 . 2008-01-23 23:53 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-01-22 19:26 . 2008-01-22 19:26 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\Panasonic
2008-01-22 19:21 . 2008-01-22 19:21 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\InstallShield
2008-01-22 19:21 . 2008-01-22 19:21 <DIR> d-------- C:\Archivos de programa\Panasonic
2008-01-21 10:40 . 2005-10-20 23:33 1,004,032 --a------ C:\WINDOWS\system32\esent.dll
2008-01-12 13:41 . 2008-01-12 13:41 <DIR> d-------- C:\WINDOWS\system32\bits
2008-01-09 15:01 . 2008-01-09 15:01 53,248 --a------ C:\WINDOWS\bdoscandel.exe
2008-01-09 15:01 . 2008-01-09 15:01 453 --a------ C:\WINDOWS\bdoscandellang.ini
2008-01-08 20:23 . 2005-06-11 00:55 53,248 --a--c--- C:\WINDOWS\system32\dllcache\spoolsv.exe
2008-01-08 10:31 . 2004-08-20 22:53 703,488 --a------ C:\WINDOWS\system32\sxs.dll
2008-01-08 10:31 . 2004-08-20 22:53 703,488 --a--c--- C:\WINDOWS\system32\dllcache\sxs.dll
2008-01-08 10:31 . 2004-08-20 22:53 83,456 --a------ C:\WINDOWS\system32\fldrclnr.dll
2008-01-08 10:31 . 2004-08-20 22:53 83,456 --a--c--- C:\WINDOWS\system32\dllcache\fldrclnr.dll
2008-01-08 10:16 . 2004-07-01 23:05 360,960 --a--c--- C:\WINDOWS\system32\dllcache\qmgr.dll
2008-01-08 10:16 . 2004-07-01 23:05 331,776 --a------ C:\WINDOWS\system32\winhttp.dll
2008-01-08 10:16 . 2004-07-01 23:05 331,776 --a--c--- C:\WINDOWS\system32\dllcache\winhttp.dll
2008-01-08 10:16 . 2004-07-01 23:05 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2008-01-08 10:16 . 2004-07-01 23:05 17,408 --a--c--- C:\WINDOWS\system32\dllcache\qmgrprxy.dll
2008-01-08 10:16 . 2004-07-01 23:05 7,680 -----c--- C:\WINDOWS\system32\dllcache\bitsprx2.dll
2008-01-08 10:16 . 2004-07-01 23:05 7,680 --------- C:\WINDOWS\system32\bitsprx2.dll
2008-01-08 10:16 . 2004-07-01 23:05 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx3.dll
2008-01-08 10:16 . 2004-07-01 23:05 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2008-01-07 23:39 . 2008-01-10 22:06 96 --a------ C:\WINDOWS\WirelessFTP.INI
2008-01-07 23:32 . 2008-01-07 23:32 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SmartCom
2008-01-07 23:31 . 2006-08-04 16:16 241,664 --a------ C:\WINDOWS\system32\SerialPortLib.dll
2008-01-07 23:31 . 2006-08-04 16:17 65,536 --a------ C:\WINDOWS\system32\DragnDropCopyHook.dll
2008-01-07 23:23 . 2008-01-07 23:23 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\Apple Computer
2008-01-07 23:22 . 2008-01-26 11:29 <DIR> d-------- C:\Archivos de programa\QuickTime
2008-01-07 23:21 . 2008-01-07 23:22 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Apple Computer
2008-01-07 23:14 . 2008-01-07 23:14 <DIR> d-------- C:\Archivos de programa\SmartCom
2008-01-07 23:14 . 2008-01-07 23:14 0 --a------ C:\WINDOWS\tosOBEX.INI
2008-01-07 23:04 . 2008-01-07 23:04 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-01-07 23:04 . 2008-01-07 23:04 <DIR> d-------- C:\Archivos de programa\Toshiba
2008-01-07 23:04 . 2006-11-30 19:55 113,792 --a------ C:\WINDOWS\system32\drivers\tosrfbd.sys
2008-01-07 23:04 . 2006-10-05 16:07 73,600 --a------ C:\WINDOWS\system32\drivers\Tosrfhid.sys
2008-01-07 23:04 . 2005-08-01 16:45 64,896 --a------ C:\WINDOWS\system32\drivers\tosrfcom.sys
2008-01-07 23:04 . 2006-11-22 16:09 53,504 --a------ C:\WINDOWS\system32\drivers\TosRfSnd.sys
2008-01-07 23:04 . 2006-10-10 19:33 41,600 --a------ C:\WINDOWS\system32\drivers\tosporte.sys
2008-01-07 23:04 . 2006-10-28 00:29 40,960 --a------ C:\WINDOWS\system32\drivers\tosrfusb.sys
2008-01-07 23:04 . 2006-11-20 17:55 36,480 --a------ C:\WINDOWS\system32\drivers\tosrfbnp.sys
2008-01-07 23:04 . 2005-01-06 13:42 18,612 --a------ C:\WINDOWS\system32\drivers\tosrfnds.sys
2008-01-07 23:00 . 2008-01-07 23:37 <DIR> d-------- C:\Telefono Sagem

.
((((((((((((((((((((((((((((((((((((((  Reporte Find3M  )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-25 11:15 --------- d-----w C:\Documents and Settings\Administrador\Datos de programa\MSN6
2008-01-22 18:21 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
.

(((((((((((((((((((((((((((((((((  Cargando Puntos Reg  ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-09-24 13:00 13312]
"MSMSGS"="C:\Archivos de programa\Messenger\msmsgs.exe" [2004-11-15 16:18 1670144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AtiPTA"="atiptaxx.exe" [2002-07-26 03:04 290816 C:\WINDOWS\system32\atiptaxx.exe]
"SoundMan"="SOUNDMAN.EXE" [2003-06-10 12:12 55296 C:\WINDOWS\SOUNDMAN.EXE]
"PE2CKFNT SE"="C:\Archivos de programa\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe" [1998-07-03 11:51 25088]
"Ulead Photo Express Verificador de Calendario"="C:\Archivos de programa\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe" [2004-01-12 19:40 69632]
"Ulead AutoDetector"="C:\Archivos de programa\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe" [2003-11-19 12:03 45056]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2007-04-27 09:41 282624]
"AVG7_CC"="C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe" [2008-01-23 23:53 579072]
"avast!"="C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"UnlockerAssistant"="C:\Archivos de programa\Unlocker\UnlockerAssistant.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-09-24 13:00 13312]
"AVG7_Run"="C:\ARCHIV~1\Grisoft\AVG7\avgw.exe" [2008-01-23 23:53 219136]

R0 viasraid;viasraid;C:\WINDOWS\System32\DRIVERS\viasraid.sys [2003-06-12 11:31]
R2 ScFBPNT2;CanoScan FBP2 Port Driver;C:\WINDOWS\System32\drivers\ScFBPNT2.SYS [1999-05-21 00:00]
R2 TOSHIBA Bluetooth Service;TOSHIBA Bluetooth Service;C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe [2006-10-31 22:40]
S0 xnkiycul;xnkiycul;C:\WINDOWS\System32\drivers\nkjclpvb.dat []
S1 ShldDrv;Panda File Shield Driver;C:\WINDOWS\System32\DRIVERS\ShlDrv51.sys []
S2 PavProc;Panda Process Protection Driver;C:\WINDOWS\System32\DRIVERS\PavProc.sys []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-06 21:36:18
Windows 5.1.2600 Service Pack 1 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

C:\WINDOWS\system32\spoolsv.exe 53248 bytes executable

el escaneo se completo con exito
archivos ocultos: 1

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Archivos de programa\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\Archivos de programa\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
C:\Archivos de programa\VIA\RAID\raid_tool.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\OPLIMIT\ocrawr32.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosAVRC.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
.
**************************************************************************
.
Tiempo completado: 2008-02-06 21:38:13 - machine was rebooted
ComboFix-quarantined-files.txt  2008-02-06 20:37:52
ComboFix2.txt  2008-02-05 22:26:25
ComboFix3.txt  2008-02-05 22:19:42
ComboFix4.txt  2008-02-05 22:03:48
ComboFix5.txt  2008-02-03 01:28:03
.
2008-01-24 08:39:12 --- E O F --- 


QUOTE
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:59:06, on 06/02/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Archivos de programa\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\WINDOWS\system32\ntvdm.exe
C:\OPLIMIT\ocrawr32.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosAVRC.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Antivirus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Archivos de programa\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Ulead Photo Express Verificador de Calendario] C:\Archivos de programa\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
O4 - HKLM\