Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: milvus en 05 de Diciembre de 2008, 11:28:25 am
-
Me ocurre algo muy estraño se ha puesto un icono circular en rojo con una cruz blanca en la parte de abajo derecha,
el fondo de pantalla esta en negro y pone "WARNING DANGEROUS SPIWARE."y sale una pantalla de real antivirus, la quito y al rato vuelve a salir.abajo dice que mi computadora infectada y me recomienda tp satr spiware cleaner too.
gracias.
saluditos.
solucionado
muchas gracias mister x
-
Pues el mensaje está en lo cierto, tu ordenador ha sido infectado, el malware en cuestión es el que te manda el aviso para que compres un programa que supuestamente elimina a este primero y que te puede dejar otras sorpresas en el equipo.
Lo más recomendable es que pases un escaneo con un antivirus actualizado en modo seguro y si tienes uno o varios programas antiespias también (Ad-Aware, Spybot, etc).
Independientemente de lo anterior cuando termines (si lo haces) saca un log del HijackThis y lo pegas aquí para poder analizarlo:
http://www.daboweb.com/foros/index.php/topic,13633.0.html
-
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:19:54, on 05/12/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
Cr\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=ES_ES&c=Q304&bd=presario&pf=desktop
R0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\ARCHIV~1\mcafee\SITEAD~1\mcieplg.dll
XE
O4 - HKLM\..\Run: [UpdateManager] "c:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mcagent_exe] "C:\Archivos de programa\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKL¡rchivos de programa\Hotbar\bin\10.2.236.0\Weather.exe" -auto
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-3976007729-2759194224-1020037088-1003\..\Run: [E07EXLRD_2142687] "C:\Archivos de programa\Microsoft Encarta\Encarta 2007 Biblioteca Premium DVD\EDICT.EXE" -m (User '?')
O4 - Global Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Iniciar Web Sugerida.lnk = ?
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9
O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee, Inc. - C:\Archivos de programa\McAfee\MSK\MskSrver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
--
End of file - 11004 bytes
-
Tu máquina está sumamente infectada. Baja el ComboFix (http://www.bleepingcomputer.com/combofix/sp/como-utilizar-combofix), reinicia en Modo seguro y ejecútalo. Pega aquí el contenido del archivo C:\Combofix.txt...
-
ComboFix 08-12-05.01 - Propietario 2008-12-05 18:55:28.2 - NTFSx86 NETWORK
Se ejecuta desde: c:\documents and settings\Propietario\Escritorio\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\All Users\Menú Inicio\Programas\Hotbar
c:\documents and settings\All Users\Menú Inicio\Programas\Hotbar\About Hotbar.lnk
c:\documents and settings\All Users\Menú Inicio\Programas\Hotbar\Hotbar Customer Support Center.lnk
c:\documents and settings\All Users\Menú Inicio\Programas\Hotbar\Reset Cursor.lnk
c:\documents and settings\All Users\Menú Inicio\Programas\Hotbar\Uninstall Hotbar.lnk
c:\documents and settings\All Users\Menú Inicio\Programas\Hotbar\Weather.lnk
c:\documents and settings\LocalService\Configuraci¢n local\Archivos temporales de Internet\
c:\documents and settings\NetworkService\Configuraci¢n local\Archivos temporales de Internet\
c:\documents and settings\Propietario\Configuraci¢n local\Archivos temporales de Internet\
c:\windows\system32\ababcMoq.ini
c:\windows\system32\ababcMoq.ini2
c:\windows\system32\jwageawn.dll
c:\windows\System32\mxbtgrdy.dll
c:\windows\System32\nvhria.dll
c:\windows\system32\pnhtjigx.ini
c:\windows\system32\wmhuubtt.ini
c:\windows\system32\ydrgtbxm.ini
.
---- Previous Run -------
.
c:\documents and settings\All Users\Datos de programa\2ACA5CC3-0F83-453D-A079-1076FE1A8B65
c:\documents and settings\All Users\Datos de programa\HotbarSA
c:\documents and settings\All Users\Datos de programa\HotbarSA\HotbarSA.dat
c:\documents and settings\All Users\Datos de programa\HotbarSA\HotbarSA_kyf.dat
c:\documents and settings\All Users\Datos de programa\HotbarSA\HotbarSAAbout.mht
c:\documents and settings\All Users\Datos de programa\HotbarSA\HotbarSAau.dat
c:\documents and settings\All Users\Datos de programa\HotbarSA\HotbarSAEULA.mht
c:\documents and settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat
c:\documents and settings\Propietario\Datos de programa\Hotbar
c:\documents and settings\Propietario\Datos de programa\WeatherDPA
c:\windows\Downloaded Program Files\setup.inf
c:\windows\IE4 Error Log.txt
c:\windows\pack.epk
c:\windows\system\msvbvm60.dll
c:\windows\system32\ababcMoq.ini
c:\windows\system32\ababcMoq.ini2
c:\windows\system32\config\48588336.Evt
c:\windows\System32\ttbuuhmw.dll
c:\windows\system32\urqRIASl.dll
c:\windows\System32\uvserg.dll
c:\windows\system32\ygfuascm.dll
c:\windows\Tasks\wtqvkzdr.job
D:\Autorun.inf
.
((((((((((((((((((((((((((((((((((((((( Drivers/Servicios )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ASC3550P
-------\Service_asc3550p
-------\Legacy_ASC3550P
-------\Service_asc3550p
(((((((((((((((((( Archivos creados desde 2008-11-05 - 2008-12-05 )))))))))))))))))))))))))))))))))
.
2008-12-05 11:45 . 2008-12-05 19:02 141,312 --a------ c:\windows\system32\ntdll64.exe
2008-12-05 11:20 . 2008-12-05 18:59 2,204 --a------ c:\windows\pjcrcshb
2008-12-05 11:16 . 2008-12-05 11:17 3 --a------ c:\windows\sbacknt.bin
2008-12-05 11:15 . 2008-12-05 11:35 <DIR> d-------- c:\documents and settings\Propietario\Datos de programa\vghd
2008-12-05 11:15 . 2008-12-05 11:15 152,904 --a------ c:\windows\system32\vghd.scr
2008-12-05 11:15 . 2008-12-04 11:04 32,256 --a------ c:\windows\system32\frmwrk32.exe
2008-12-05 11:15 . 2008-12-05 19:02 4,785 --a------ c:\windows\system32\warning.gif
2008-12-05 11:15 . 2008-12-05 19:02 1,349 --a------ c:\windows\system32\ahtn.htm
2008-12-05 11:15 . 2008-12-05 19:02 461 --a------ c:\windows\system32\win32hlp.cnf
2008-12-05 11:15 . 2008-12-05 11:15 1 --a------ c:\windows\system32\uniq.tll
2008-12-05 11:15 . 2008-12-05 11:15 1 --a------ c:\windows\system32\test.ttt
2008-12-05 11:14 . 2008-12-05 11:15 34,816 --a------ c:\windows\system32\qoMeBqNh.dll
2008-11-22 23:09 . 2008-11-22 23:09 86,016 --a------ c:\windows\system32\qfneklg.dll
2008-11-15 15:51 . 2008-11-15 15:58 20,478 --a------ c:\windows\hpoins01.dat
2008-11-15 15:51 . 2003-04-05 12:24 16,618 --------- c:\windows\hpomdl01.dat
2008-11-15 15:47 . 2008-11-15 15:47 <DIR> d-------- c:\windows\system32\NtmsData
2008-11-15 12:35 . 2008-01-18 15:16 83,880 -ra------ c:\windows\system32\drivers\a016bus.sys
2008-11-15 12:35 . 2008-01-18 15:16 12,200 -ra------ c:\windows\system32\drivers\a016whnt.sys
2008-11-15 12:35 . 2008-01-18 15:16 12,200 -ra------ c:\windows\system32\drivers\a016wh.sys
2008-11-13 20:09 . 2008-11-13 20:09 <DIR> d-------- c:\archivos de programa\Smart-Shopper
2008-11-10 20:16 . 2008-11-11 08:03 <DIR> d-------- c:\documents and settings\All Users\Datos de programa\NOS
2008-11-10 20:16 . 2008-11-11 08:03 <DIR> d-------- c:\archivos de programa\NOS
.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-05 17:40 22,528 ----a-w c:\windows\system32\userinit.exe
2008-12-05 10:15 --------- d-----w c:\archivos de programa\eMule
2008-11-23 09:43 --------- d-----w c:\documents and settings\LocalService\Datos de programa\SACore
2008-11-15 14:58 82,380 ----a-w c:\windows\system32\drivers\AFS2K.SYS
2008-11-15 10:19 --------- d-----w c:\archivos de programa\McAfee
2008-11-10 19:25 --------- d-----w c:\archivos de programa\Archivos comunes\Adobe
2008-11-10 18:53 --------- d-----w c:\documents and settings\Propietario\Datos de programa\AdobeUM
2008-10-31 11:11 --------- d-----w c:\documents and settings\Propietario\Datos de programa\Openfirstnoun
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-14 13:22 --------- d-----w c:\documents and settings\Propietario\Datos de programa\Jasc
2008-10-14 13:17 --------- d-----w c:\archivos de programa\Jasc Software Inc
2008-10-10 11:35 --------- d-----w c:\documents and settings\All Users\Datos de programa\McAfee
2008-10-10 06:08 --------- d-----w c:\archivos de programa\Circle Developement
2008-10-09 11:03 --------- d--h--w c:\archivos de programa\InstallShield Installation Information
2008-09-29 06:41 63,488 ----a-w c:\windows\system32\dbnet32lib.dll
2008-09-29 06:41 10,752 ----a-w c:\windows\system32\asdns.dll
2008-03-24 16:39 513 ---ha-w c:\archivos de programa\hpothb07.tif
2008-03-24 16:39 317 ---ha-w c:\archivos de programa\hpothb07.dat
2007-09-12 09:57 12,654,640 ----a-w c:\archivos de programa\mp10setup.exe
2007-09-10 10:41 25,865,364 ----a-w c:\archivos de programa\instalar-wmp11...exe
2004-09-15 19:16 0 --sha-w c:\windows\SMINST\HPCD.sys
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}]
2008-12-05 11:15 34816 --a------ c:\windows\system32\qoMeBqNh.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"E07EXLRD_2142687"="c:\archivos de programa\Microsoft Encarta\Encarta 2007 Biblioteca Premium DVD\EDICT.EXE" [2006-06-12 351000]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe" [2004-01-02 32881]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
"KBD"="c:\hp\KBD\KBD.EXE" [2003-02-11 61440]
"iTunesHelper"="c:\archivos de programa\iTunes\iTunesHelper.exe" [2004-01-16 229376]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2004-04-14 233472]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2004-02-23 3026944]
"PS2"="c:\windows\system32\ps2.exe" [2003-09-12 98304]
"UpdateManager"="c:\archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" [2003-08-19 110592]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"mcagent_exe"="c:\archivos de programa\McAfee.com\Agent\mcagent.exe" [2008-07-11 641208]
"Adobe Reader Speed Launcher"="c:\archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"4c8a6ffa"="c:\windows\System32\qfyahlws.dll" [2008-12-05 72704]
"nwiz"="nwiz.exe" [2004-02-23 c:\windows\system32\nwiz.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 c:\windows\AGRSMMSG.exe]
"AlcxMonitor"="ALCXMNTR.EXE" [2003-04-03 c:\windows\ALCXMNTR.EXE]
"Framework Windows"="frmwrk32.exe" [2008-12-04 c:\windows\system32\frmwrk32.exe]
c:\documents and settings\All Users\Men£ Inicio\Programas\Inicio\
Adobe Gamma.lnk - c:\archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]
hp psc 1000 series.lnk - c:\archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-04-06 147456]
hpoddt01.exe.lnk - c:\archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 28672]
Iniciar Web Sugerida.lnk - c:\archivos de programa\Instalador de Gui¤os y Meegos Messenger\msngserv.exe [2007-08-28 47104]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)
"NoActiveDesktopChanges"= 1 (0x1)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)
"NoActiveDesktopChanges"= 1 (0x1)
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"= "c:\windows\system32\qoMeBqNh.dll" [2008-12-05 34816]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qoMeBqNh]
2008-12-05 11:15 34816 c:\windows\system32\qoMeBqNh.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=uvserg.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.DIV3"= c:\archiv~1\codecp~1\divx3\divxc32.dll
"vidc.DIV4"= c:\archiv~1\codecp~1\divx412\divx.dll
"vidc.DIVX"= c:\archiv~1\codecp~1\divx511\divx.dll
"vidc.xvid"= c:\archiv~1\codecp~1\xvid\xvid.dll
"vidc.fvfw"= c:\archiv~1\codecp~1\ffvfw\ffvfw.dll
"msacm.avis"= c:\archiv~1\codecp~1\ffvfw\ffvfw.dll
"vidc.MPG4"= c:\archiv~1\codecp~1\mpeg4\mpg4c32.dll
"vidc.MP42"= c:\archiv~1\codecp~1\mpeg4\mpg4c32.dll
"vidc.MP43"= c:\archiv~1\codecp~1\mpeg4\mpg4c32.dll
"VIDC.MJPG"= c:\archiv~1\codecp~1\picvideo\pvmjpg21.dll
"VIDC.PIMJ"= c:\archiv~1\codecp~1\picvideo\pvljpg20.dll
"VIDC.PVW2"= c:\archiv~1\codecp~1\picvideo\pvwv220.dll
"VIDC.SJPG"= c:\archiv~1\codecp~1\pmmjpeg\pmmjpeg.dll
"vidc.MJPX"= c:\archiv~1\codecp~1\m3jpegv3\m3jpeg32.dll
"vidc.dmb1"= c:\archiv~1\codecp~1\m3jpegv3\m3jpeg32.dll
"VIDC.HFYU"= c:\archiv~1\codecp~1\huffyuv\huffyuv.dll
"VIDC.ZLIB"= c:\archiv~1\codecp~1\lcljp\avizlib.dll
"VIDC.MSZH"= c:\archiv~1\codecp~1\lcljp\avimszh.dll
"vidc.MVW1"= c:\archiv~1\codecp~1\aware\icmw_32.dll
"vidc.dvmc"= c:\archiv~1\codecp~1\mcdv\mcdvd_32.dll
"vidc.VP31"= c:\archiv~1\codecp~1\on2vp3\vp31vfw.dll
"vidc.VP60"= c:\archiv~1\codecp~1\on2vp6\vp6vfw.dll
"vidc.VP61"= c:\archiv~1\codecp~1\on2vp6\vp6vfw.dll
"vidc.3IV2"= c:\archiv~1\codecp~1\3ivx\3ivxvf~1.dll
"vidc.I263"= c:\archiv~1\codecp~1\i263\i263_32.drv
"msacm.imc"= c:\archiv~1\codecp~1\i263\imc32.acm
"VIDC.YMPG"= c:\archiv~1\codecp~1\ympeg\ympgcdc.dll
"msacm.ympgacm"= c:\archiv~1\codecp~1\ympeg\ympgacm.acm
"msacm.lameacm"= c:\archiv~1\codecp~1\mp3lame\lameacm.acm
"msacm.atrac3"= c:\archiv~1\codecp~1\atrac3\atrac3.acm
"msacm.qmpeg"= c:\archiv~1\codecp~1\qmpeg\qmpeg.acm
"msacm.uleaddv"= c:\archiv~1\codecp~1\uleaddv\dvacm.acm
"msacm.vorbis"= c:\archiv~1\codecp~1\vorbis\vorbis.acm
"msacm.divxa32"= c:\archiv~1\codecp~1\wma\divxa32.acm
"msacm.msaudio2"= c:\archiv~1\codecp~1\wma\msaud32h.acm
.
Contenido de carpeta 'Tareas Programadas'
2015-10-03 c:\windows\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1094055565.job
- c:\archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 23:52]
2008-11-20 c:\windows\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1226761123.job
- c:\archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 23:52]
2008-05-21 c:\windows\Tasks\McDefragTask.job
- c:\windows\system32\defrag.exe [2004-02-11 14:14]
2008-05-21 c:\windows\Tasks\McQcTask.job
- c:\archivos de programa\mcafee\mqc\QcConsol.exe [2008-07-09 17:10]
.
- - - - HUÉRFANOS ELIMINADOS - - - -
URLSearchHooks-{9c905b42-976e-43c1-bc30-fc5937017909} - (no file)
BHO-{7b73500e-bf4d-45b4-a89a-d8c1449b46dc} - c:\windows\System32\nvhria.dll
BHO-{C6FC4E3A-8E30-4212-B76F-A1EE619B2CDB} - c:\windows\System32\qoMcbaba.dll
Toolbar-{9c905b42-976e-43c1-bc30-fc5937017909} - (no file)
WebBrowser-{9C905B42-976E-43C1-BC30-FC5937017909} - (no file)
.
------- Análisis Suplementario -------
.
uStart Page = about-blank.in
uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=ES_ES&c=Q304&bd=presario&pf=desktop
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=ES_ES&c=Q304&bd=presario&pf=desktop
mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=ES_ES&c=Q304&bd=presario&pf=desktop
IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
IE: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
IE: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm -
LSP: c:\windows\System32\qfneklg.dll
FireFox -: Profile - c:\documents and settings\Propietario\Datos de programa\Mozilla\Firefox\Profiles\54ht06mr.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.es/webhp?rls=ig|http://www.google.es/ig?tab=mw&hl=es
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-05 19:00:30
Windows 5.1.2600 Service Pack 1 NTFS
escaneando procesos ocultos ...
escaneando entradas ocultas de autostart ...
escaneando archivos ocultos ...
c:\windows\system32\drivers\melhfvqm.sys 25088 bytes executable
el escaneo se completo con exito
archivos ocultos: 1
**************************************************************************
.
--------------------- DLLs cargados bajo los procesos en ejecución ---------------------
- - - - - - - > 'winlogon.exe'(660)
c:\windows\system32\ODBC32.dll
c:\windows\system32\qoMeBqNh.dll
c:\archivos de programa\McAfee\SiteAdvisor\saHook.dll
- - - - - - - > 'lsass.exe'(716)
c:\windows\System32\dssenh.dll
- - - - - - - > 'explorer.exe'(2708)
c:\windows\System32\nView.dll
c:\windows\System32\NVWRSES.DLL
c:\archivos de programa\McAfee\SiteAdvisor\saHook.dll
c:\windows\System32\qfyahlws.dll
.
------------------------ Otros procesos en ejecución ------------------------
.
c:\windows\system32\gearsec.exe
c:\archivos de programa\McAfee\SiteAdvisor\McSACore.exe
c:\archiv~1\McAfee\MSC\mcmscsvc.exe
c:\archivos de programa\Archivos comunes\McAfee\MNA\McNASvc.exe
c:\windows\system32\rundll32.exe
c:\archiv~1\ARCHIV~1\McAfee\McProxy\McProxy.exe
c:\archiv~1\McAfee\VIRUSS~1\Mcshield.exe
c:\archivos de programa\McAfee\MPF\MpfSrv.exe
c:\archivos de programa\McAfee\MSK\msksrver.exe
c:\windows\system32\nvsvc32.exe
c:\archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
c:\archivos de programa\iPod\bin\iPodService.exe
c:\archivos de programa\Hewlett-Packard\Digital Imaging\bin\hposts08.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Tiempo completado: 2008-12-05 19:07:00 - Reiniciando la máquina [Propietario]
ComboFix-quarantined-files.txt 2008-12-05 18:06:46
Pre-Run: 72,173,150,208 bytes libres
Post-Run: 71,537,041,408 bytes libres
273 --- E O F --- 2008-10-13 20:14:52
-
Pasa el McAfee actualizado iniciando en Modo seguro... Saca un nuevo log del HijackThis y otro del Autoruns (clic aquí) (http://www.daboweb.com/foros/index.php/topic,25707.0.html)...
-
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:35:17, on 06/12/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe
C:\Archivos de programa\McAfee.com\Agent\mcagent.exe
C:\WINDOWS\System32\frmwrk32.exe
C:\WINDOWS\System32\rundll32.exe
C:\Archivos de programa\McAfee\MBK\McAfeeDataBackup.exe
C:\Archivos de programa\Microsoft Encarta\Encarta 2007 Biblioteca Premium DVD\EDICT.EXE
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\System32\gearsec.exe
C:\Archivos de programa\McAfee\SiteAdvisor\McSACore.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe
c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe
c:\ARCHIV~1\ARCHIV~1\mcafee\mcproxy\mcproxy.exe
C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe
C:\Archivos de programa\McAfee\MPF\MPFSrv.exe
C:\Archivos de programa\McAfee\MSK\MskSrver.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=ES_ES&c=Q304&bd=presario&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about-blank.in
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=ES_ES&c=Q304&bd=presario&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=ES_ES&c=Q304&bd=presario&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\ARCHIV~1\mcafee\SITEAD~1\mcieplg.dll
O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [iTunesHelper] C:\Archivos de programa\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [UpdateManager] "c:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mcagent_exe] "C:\Archivos de programa\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe
O4 - HKLM\..\Run: [McAfee Backup] "C:\Archivos de programa\McAfee\MBK\McAfeeDataBackup.exe"
O4 - HKCU\..\Run: [E07EXLRD_2142687] "C:\Archivos de programa\Microsoft Encarta\Encarta 2007 Biblioteca Premium DVD\EDICT.EXE" -m
O4 - HKUS\S-1-5-21-3976007729-2759194224-1020037088-1003\..\Run: [E07EXLRD_2142687] "C:\Archivos de programa\Microsoft Encarta\Encarta 2007 Biblioteca Premium DVD\EDICT.EXE" -m (User '?')
O4 - Global Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Iniciar Web Sugerida.lnk = ?
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32\qfneklg.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\qfneklg.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://ines11101996.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\ARCHIV~1\mcafee\SITEAD~1\mcieplg.dll
O20 - AppInit_DLLs: uvserg.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Unknown owner - C:\Archivos de programa\Ares\chatServer.exe (file missing)
O23 - Service: Servicio de seguridad Gear (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: MBackMonitor - McAfee - C:\Archivos de programa\McAfee\MBK\MBackMonitor.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Archivos de programa\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\ARCHIV~1\ARCHIV~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Archivos de programa\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee, Inc. - C:\Archivos de programa\McAfee\MSK\MskSrver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
--
End of file - 9206 bytes
-
HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ Adobe Reader Speed Launcher Adobe Acrobat SpeedLauncher (Verified) Adobe Systems, Incorporated c:\archivos de programa\adobe\reader 9.0\reader\reader_sl.exe
+ Framework Windows Indexing Service filter daemon (Not verified) Microsoft Corporation c:\windows\system32\frmwrk32.exe
+ hpsysdrv hpsysdrv (Not verified) Hewlett-Packard Company c:\windows\system\hpsysdrv.exe
+ iTunesHelper iTunesHelper Module (Not verified) Apple Computer, Inc. c:\archivos de programa\itunes\ituneshelper.exe
+ KBD KBD EXE (Not verified) Hewlett-Packard Company c:\hp\kbd\kbd.exe
+ McAfee Backup McAfee Data Backup (Verified) McAfee, Inc. c:\archivos de programa\mcafee\mbk\mcafeedatabackup.exe
+ mcagent_exe McAfee Integrated Security Platform (Verified) McAfee, Inc. c:\archivos de programa\mcafee.com\agent\mcagent.exe
+ NeroFilterCheck NeroCheck (Not verified) Ahead Software Gmbh c:\windows\system32\nerocheck.exe
+ nwiz NVIDIA nView Wizard, Version 53.16 (Not verified) NVIDIA Corporation c:\windows\system32\nwiz.exe
+ Recguard Recguard Application c:\windows\sminst\recguard.exe
+ SunJavaUpdateSched c:\archivos de programa\java\j2re1.4.2_03\bin\jusched.exe
+ UpdateManager Sonic Update Manager (Not verified) Sonic Solutions c:\archivos de programa\archivos comunes\sonic\update manager\sgtray.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio
+ Adobe Gamma.lnk Adobe Gamma Loader (Not verified) Adobe Systems, Inc. c:\archivos de programa\archivos comunes\adobe\calibration\adobe gamma loader.exe
+ hp psc 1000 series.lnk HP OfficeJet COM Device Objects (Not verified) Hewlett-Packard Co. c:\archivos de programa\hewlett-packard\digital imaging\bin\hpohmr08.exe
+ hpoddt01.exe.lnk hpotdd01 (Not verified) Hewlett-Packard c:\archivos de programa\hewlett-packard\digital imaging\bin\hpotdd01.exe
+ Iniciar Web Sugerida.lnk c:\archivos de programa\instalador de guiños y meegos messenger\msngserv.exe
C:\Documents and Settings\Propietario\Menú Inicio\Programas\Inicio
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown
HKLM\SOFTWARE\Classes\Protocols\Filter
+ application/octet-stream Microsoft .NET Runtime Execution Engine (Not verified) Microsoft Corporation c:\windows\system32\mscoree.dll
+ application/x-complus Microsoft .NET Runtime Execution Engine (Not verified) Microsoft Corporation c:\windows\system32\mscoree.dll
+ application/x-msdownload Microsoft .NET Runtime Execution Engine (Not verified) Microsoft Corporation c:\windows\system32\mscoree.dll
HKLM\SOFTWARE\Classes\Protocols\Handler
+ sacore SiteAdvisor (Verified) McAfee, Inc. c:\archivos de programa\mcafee\siteadvisor\mcieplg.dll
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components
+ 0 File not found: About:Home
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
+ n/a Microsoft .NET IE SECURITY REGISTRATION (Not verified) Microsoft Corporation c:\windows\system32\mscories.dll
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
+ qomebqnh.dll c:\windows\system32\qomebqnh.dll
HKCU\Software\Classes\*\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers
+ McCtxMenu McAfee VirusScan - Context Menu (Verified) McAfee, Inc. c:\archivos de programa\mcafee\virusscan\mcctxmnu.dll
+ WinRAR c:\archivos de programa\winrar\rarext.dll
HKCU\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers
HKCU\Software\Classes\Directory\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers
+ WinRAR c:\archivos de programa\winrar\rarext.dll
HKCU\Software\Classes\Directory\Shellex\DragDropHandlers
HKLM\Software\Classes\Directory\Shellex\DragDropHandlers
+ WinRAR c:\archivos de programa\winrar\rarext.dll
HKCU\Software\Classes\Directory\Shellex\PropertySheetHandlers
HKLM\Software\Classes\Directory\Shellex\PropertySheetHandlers
HKCU\Software\Classes\Directory\Shellex\CopyHookHandlers
HKLM\Software\Classes\Directory\Shellex\CopyHookHandlers
HKCU\Software\Classes\Folder\Shellex\ColumnHandlers
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
+ PDF Shell Extension PDF Shell Extension (Verified) Adobe Systems, Incorporated c:\archivos de programa\archivos comunes\adobe\acrobat\activex\pdfshell.dll
HKCU\Software\Classes\Folder\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers
+ McCtxMenu McAfee VirusScan - Context Menu (Verified) McAfee, Inc. c:\archivos de programa\mcafee\virusscan\mcctxmnu.dll
+ WinRAR c:\archivos de programa\winrar\rarext.dll
HKCU\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers
+ igfxcui igfxpph Module (Not verified) Intel Corporation c:\windows\system32\igfxpph.dll
+ nView NVIDIA Desktop Explorer, Version 53.16 (Not verified) NVIDIA Corporation c:\windows\system32\nvshell.dll
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
HKCU\Software\Microsoft\Ctf\LangBarAddin
HKLM\Software\Microsoft\Ctf\LangBarAddin
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ Desktop Explorer NVIDIA Desktop Explorer, Version 53.16 (Not verified) NVIDIA Corporation c:\windows\system32\nvshell.dll
+ Desktop Explorer Menu NVIDIA Desktop Explorer, Version 53.16 (Not verified) NVIDIA Corporation c:\windows\system32\nvshell.dll
+ Extensión de paneo de pantalla del Panel de control File not found: deskpan.dll
+ Fusion Cache Microsoft .NET Runtime Execution Engine (Not verified) Microsoft Corporation c:\windows\system32\mscoree.dll
+ nView Desktop Context Menu NVIDIA Desktop Explorer, Version 53.16 (Not verified) NVIDIA Corporation c:\windows\system32\nvshell.dll
+ RecordNow! SendToExt Shell Extensions c:\archivos de programa\recordnow!\shlext.dll
+ SampleView ShellvRTF (Not verified) XSS c:\windows\system32\shellvrtf.dll
+ Shell Icon Handler for Application References Application Deployment Support Library (Not verified) Microsoft Corporation c:\windows\system32\dfshim.dll
+ ShellLink for Application References Application Deployment Support Library (Not verified) Microsoft Corporation c:\windows\system32\dfshim.dll
+ WinRAR shell extension c:\archivos de programa\winrar\rarext.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
+ McAfee SiteAdvisor BHO SiteAdvisor (Verified) McAfee, Inc. c:\archivos de programa\mcafee\siteadvisor\mcieplg.dll
+ {103FCCDB-89DA-4443-AC8E-98AEDC84A03E} c:\windows\system32\qomcbaba.dll
+ {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} c:\windows\system32\qomebqnh.dll
+ {c68a489a-143d-4d18-bea4-8faf97a31ac4} c:\windows\system32\qckyjs.dll
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Toolbar
+ McAfee SiteAdvisor SiteAdvisor (Verified) McAfee, Inc. c:\archivos de programa\mcafee\siteadvisor\mcieplg.dll
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars
HKCU\Software\Microsoft\Internet Explorer\Extensions
HKLM\Software\Microsoft\Internet Explorer\Extensions
Task Scheduler
+ FRU Task #Hewlett-Packard#hp psc 1200 series#1094055565.job FRU-Client MFC Application c:\archivos de programa\hewlett-packard\digital imaging\bin\hpqfrucl.exe
+ FRU Task #Hewlett-Packard#hp psc 1200 series#1226761123.job FRU-Client MFC Application c:\archivos de programa\hewlett-packard\digital imaging\bin\hpqfrucl.exe
+ McQcTask.job QuickClean Console Application (Verified) McAfee, Inc. c:\archivos de programa\mcafee\mqc\qcconsol.exe
HKLM\System\CurrentControlSet\Services
+ GEARSecurity Soporte para el acceso y la grabación de CD. (Not verified) GEAR Software c:\windows\system32\gearsec.exe
+ McAfee SiteAdvisor Service Proporciona un soporte de bajo nivel para McAfee SiteAdvisor (Verified) McAfee, Inc. c:\archivos de programa\mcafee\siteadvisor\mcsacore.exe
+ mcmscsvc McAfee Services (Verified) McAfee, Inc. c:\archivos de programa\mcafee\msc\mcmscsvc.exe
+ McNASvc McAfee Network Agent (Verified) McAfee, Inc. c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe
+ McProxy McAfee Proxy Service (Verified) McAfee, Inc. c:\archivos de programa\archivos comunes\mcafee\mcproxy\mcproxy.exe
+ McShield Analiza los archivos para comprobar si hay virus y otras amenazas cuando este equipo accede a ellos. (Verified) McAfee, Inc. c:\archivos de programa\mcafee\virusscan\mcshield.exe
+ MpfService McAfee Personal Firewall Service (Verified) McAfee, Inc. c:\archivos de programa\mcafee\mpf\mpfsrv.exe
+ MSK80Service Este servicio filtra los mensajes de correo electrónico del equipo (Verified) McAfee, Inc. c:\archivos de programa\mcafee\msk\msksrver.exe
HKLM\System\CurrentControlSet\Services
+ AFS2K Audio File System (Not verified) Oak Technology Inc. c:\windows\system32\drivers\afs2k.sys
+ Changer File not found: C:\WINDOWS\System32\Drivers\Changer.sys
+ GEARAspiWDM Filter Driver for 2k and XP (Not verified) GEAR Software c:\windows\system32\drivers\gearaspiwdm.sys
+ i2omgmt File not found: C:\WINDOWS\System32\Drivers\i2omgmt.sys
+ ialm Intel Graphics Miniport Driver (Not verified) Intel Corporation c:\windows\system32\drivers\ialmnt5.sys
+ Iviaspi InterVideo ASPI Shell (Not verified) InterVideo, Inc. c:\windows\system32\drivers\iviaspi.sys
+ lbrtfdc File not found: C:\WINDOWS\System32\Drivers\lbrtfdc.sys
+ mferkdk VSCore Code Analysis Driver (Verified) McAfee, Inc. c:\windows\system32\drivers\mferkdk.sys
+ MPFP McAfee Personal Firewall Plus Driver (Verified) McAfee, Inc. c:\windows\system32\drivers\mpfp.sys
+ PCIDump File not found: C:\WINDOWS\System32\Drivers\PCIDump.sys
+ PDCOMP File not found: C:\WINDOWS\System32\Drivers\PDCOMP.sys
+ PDFRAME File not found: C:\WINDOWS\System32\Drivers\PDFRAME.sys
+ PDRELI File not found: C:\WINDOWS\System32\Drivers\PDRELI.sys
+ PDRFRAME File not found: C:\WINDOWS\System32\Drivers\PDRFRAME.sys
+ Pfc Padus(R) ASPI Shell (Not verified) Padus, Inc. c:\windows\system32\drivers\pfc.sys
+ pjcrcshb c:\windows\system32\drivers\melhfvqm.sys
+ PxHelp20 Px Engine Device Driver for Windows 2000/XP (Not verified) Sonic Solutions c:\windows\system32\drivers\pxhelp20.sys
+ StarOpen c:\windows\system32\drivers\staropen.sys
+ WDICA File not found: C:\WINDOWS\System32\Drivers\WDICA.sys
+ yttdbamw c:\windows\system32\drivers\pvzzqrwb.sys
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
HKLM\System\CurrentControlSet\Control\Session Manager\SetupExecute
HKLM\System\CurrentControlSet\Control\Session Manager\Execute
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\Software\Microsoft\Command Processor\Autorun
HKCU\Software\Microsoft\Command Processor\Autorun
HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
+ uvserg.dll File not found: uvserg.dll
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
+ igfxcui igfxsrvc Module (Not verified) Intel Corporation c:\windows\system32\igfxsrvc.dll
+ qoMeBqNh c:\windows\system32\qomebqnh.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKCU\Control Panel\Desktop\Scrnsave.exe
HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImagePath
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries
+ 000000000016 c:\windows\system32\qfneklg.dll
+ 000000000017 c:\windows\system32\qfneklg.dll
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
+ C:\WINDOWS\System32\qoMcbaba c:\windows\system32\qomcbaba.dll
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order
-
Haz copia de seguridad del registro utilizando el ERUNT (clic aquí) (http://www.daboweb.com/foros/index.php/topic,27469.0.html); deshabilita el 'Restaurar el sistema' (clic aquí) (http://www.windowsfacil.com/manuales1/desactivar-restaurar-sistema/desactivar-restaurar-sistema.htm), reinicia en Modo seguro, ejecuta el Autoruns, selecciona con el botón derecho las siguientes entradas y dale a 'Delete':
+ qomebqnh.dll c:\windows\system32\qomebqnh.dll
+ {103FCCDB-89DA-4443-AC8E-98AEDC84A03E} c:\windows\system32\qomcbaba.dll
+ {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} c:\windows\system32\qomebqnh.dll
+ {c68a489a-143d-4d18-bea4-8faf97a31ac4} c:\windows\system32\qckyjs.dll
+ pjcrcshb c:\windows\system32\drivers\melhfvqm.sys
+ yttdbamw c:\windows\system32\drivers\pvzzqrwb.sys
+ uvserg.dll File not found: uvserg.dll
+ qoMeBqNh c:\windows\system32\qomebqnh.dll
+ 000000000016 c:\windows\system32\qfneklg.dll
+ 000000000017 c:\windows\system32\qfneklg.dll
+ C:\WINDOWS\System32\qoMcbaba c:\windows\system32\qomcbaba.dll
Reinicia normal y trata de pasar (al menos) dos antivirus en línea... Reinicia en Modo seguro y pasa el McAfee... Nuevos logs...
-
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:02:40, on 09/12/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe
C:\Archivos de programa\McAfee.com\Agent\mcagent.exe
C:\Archivos de programa\McAfee\MBK\McAfeeDataBackup.exe
C:\WINDOWS\System32\rundll32.exe
C:\Archivos de programa\Microsoft Encarta\Encarta 2007 Biblioteca Premium DVD\EDICT.EXE
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\gearsec.exe
C:\Archivos de programa\McAfee\SiteAdvisor\McSACore.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe
c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe
c:\ARCHIV~1\ARCHIV~1\mcafee\mcproxy\mcproxy.exe
C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe
C:\Archivos de programa\McAfee\MPF\MPFSrv.exe
C:\Archivos de programa\McAfee\MSK\MskSrver.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
c:\ARCHIV~1\mcafee\VIRUSS~1\mcvsshld.exe
C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=ES_ES&c=Q304&bd=presario&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about-blank.in
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=ES_ES&c=Q304&bd=presario&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=ES_ES&c=Q304&bd=presario&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\ARCHIV~1\mcafee\SITEAD~1\mcieplg.dll
O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [iTunesHelper] C:\Archivos de programa\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [UpdateManager] "c:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mcagent_exe] "C:\Archivos de programa\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe
O4 - HKLM\..\Run: [McAfee Backup] "C:\Archivos de programa\McAfee\MBK\McAfeeDataBackup.exe"
O4 - HKLM\..\Run: [4c8a6ffa] rundll32.exe "C:\WINDOWS\System32\hmtklpdm.dll",b
O4 - HKCU\..\Run: [E07EXLRD_2142687] "C:\Archivos de programa\Microsoft Encarta\Encarta 2007 Biblioteca Premium DVD\EDICT.EXE" -m
O4 - HKUS\S-1-5-21-3976007729-2759194224-1020037088-1003\..\Run: [E07EXLRD_2142687] "C:\Archivos de programa\Microsoft Encarta\Encarta 2007 Biblioteca Premium DVD\EDICT.EXE" -m (User '?')
O4 - Global Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Iniciar Web Sugerida.lnk = ?
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32\qfneklg.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\qfneklg.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://ines11101996.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\ARCHIV~1\mcafee\SITEAD~1\mcieplg.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Unknown owner - C:\Archivos de programa\Ares\chatServer.exe (file missing)
O23 - Service: Servicio de seguridad Gear (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: MBackMonitor - McAfee - C:\Archivos de programa\McAfee\MBK\MBackMonitor.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Archivos de programa\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\ARCHIV~1\ARCHIV~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Archivos de programa\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee, Inc. - C:\Archivos de programa\McAfee\MSK\MskSrver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
--
End of file - 9296 bytes
-
H
-
Vuelve a pasar el Combofix...
-
solucionado
-
1.-Busca este archivo y bórralo: c:\windows\system32\drivers\pvzzqrwb.sys
2.-Pasa el McAfee actualizado iniciando en Modo seguro
3.-Saca nuevos logs del HijackThis y Autoruns...
-
buenos dias
no encontre ese archivo
saluditos:
A.jimenez
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:36:47, on 11/12/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Archivos de programa\McAfee.com\Agent\mcagent.exe
C:\Archivos de programa\Microsoft Encarta\Encarta 2007 Biblioteca Premium DVD\EDICT.EXE
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\gearsec.exe
C:\Archivos de programa\McAfee\SiteAdvisor\McSACore.exe
Cpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [iTunesHelper] C:\Archivos de programa\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [UpdateManager] "c:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mcagent_exe] "C:\Archivos de programa\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [E07EXLRD_2142687] "C:\Archivos de programa\Microsoft Encarta\Encarta 2007 Biblioteca Premium DVD\EDICT.EXE" -m
O4 - HKUS\S-1-5-21-3976007729-2759194224-1020037088-1003\..\Run: [E07EXLRD_2142687] "C:\Archivos de programa\Microsoft Encarta\Encarta 2007 Biblioteca Premium DVD\EDICT.EXE" -m (User '?')
O4 - Global Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Iniciar Web Sugerida.lnk = ?
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de program
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://ines11101996.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\ARCHIV~1\mcafee\SITEAD~1\mcieplg.dll
O20 - AppInit_DLLs: uvserg.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Unknown owner - C:\Archivos de programa\Ares\chatServer.exe (file miss
--
End of file - 9167 bytes
-
HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup
ages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order