Virus/troyano de las narices

Momopiegirl #1 Jul '12

Ha llegado el momento que ya no sé que hacer D:

Tengo un virus o troyano que no deja de abrirme ventanas de firefox cada X tiempo con publicidad de todo tipo.He estado mirando en google etc pero no me soluciona nada,he seguido los pasos pero ahi sigue y acudo aqui para ver si vosotros lo habeis tenido y como lo habeis eliminado,porque ya no puedo más,me tiene harta...

Diablo_S #2 Jul '12

hace cuanto te pasa? yo probaria a restaurar el sistema a un dia en el que no te pasaba y solucionao, no se me ocurre otra cosa jaja

joS3Lu #3 Jul '12

Analiza en modo seguro con el Spybot - Search & Destroy, Malwaresbytes y luego pasa el CCleaner, con eso deberia quedar limpio.

S

S1L3nCe #4 Jul '12

#1 Prueba con Malwarebytes y luego con Combofix. Sería raro que uno de esos dos no te de solución al problema. Pero antes elimina morralla con CCleaner.

J0TA #5 Jul '12

1) Reinicia en modo seguro -con funciones de red- (how-to)

2) Pasa el antivirus

3) Baja e instala Malwarebytes (web)

Tanto el antivirus como el Malwarebytes pásalos en modo completo.

Tardará bastante tiempo pero lo mas seguro es que te solucione el tema.

Un saludo.

1 1 respuesta

S

S1L3nCe #6 Jul '12

#5 Yep, lo del modo seguro con funciones de red es importante.

Momopiegirl #7 Jul '12

Lo único que no he hecho ha sido hacerlo en modo seguro,porque el malwarebytes lo he pasado como 4 veces en análisis completo,el CCleaner igual y por si acaso el Avast

Voy a intentarlo de esa forma a ver xD

1 respuesta

S

S1L3nCe #8 Jul '12

#7 Prueba con combofix. Es cojonudo, en serio. Además, si tienes windows xp te instala una consola de recuperación muy útil.

2 respuestas

LzO #9 Jul '12

pasa el hijackthis y peganos aqui el log que te genera para que podamos olisnear a ver que raro hay

1 respuesta

Momopiegirl #10 Jul '12

#8

" Debido al poder de esta herramienta se recomienda enfáticamente que no utilice ComboFix sin supervisaciónya que el mal uso puede impedir el funcionamiento normal del sistema. "

Me da miedito e_e

2 respuestas

LzO #11 Jul '12

#10 ni caso, y haz lo que dije en #8 tambien

S

S1L3nCe #12 Jul '12

#10 Llevo usándola muchísimo tiempo y jamás he tenido ningún problema. En cualquier caso, aquí estamos para ayudarte si tuvieses algún inciso.

Y haz caso de #9 también

Zerokkk #13 Jul '12

Combofix es la herramienta antimalware más potente que hay a día de hoy, muy posiblemente. Déjalo pasando y lo más probable es que se cargue lo que tengas dentro.

1 1 respuesta

Uriel246 #14 Jul '12

Formatea.

1 respuesta

S

S1L3nCe #15 Jul '12

#13 Ya te digo. Deberían meterle el "san" justo delante del nombre xD No veas lo bien que me ha venido en mi trabajo

#14 Y no habrá aprendido nada, además de perder un huevo de tiempo (aunque a veces la resolución de determinados virus puede llevar más tiempo que un formateo y reinstalación).

1 respuesta

Momopiegirl #16 Jul '12

Estoy en modo seguro con funciones de red pasando el malwarebytes a ver que sale primero

Que diferencia hay con el modo seguro a secas?

1 respuesta

S

S1L3nCe #17 Jul '12

#16 Algunos virus no pueden ejecutar ciertas funciones en modo seguro.

1 respuesta

Momopiegirl #18 Jul '12

Malwarebytes no ha encontrado nada

spoiler

Ahora he puesto el avast a ver por último,sino sale nada,pongo el que me decís

1 respuesta

S

S1L3nCe #19 Jul '12

#18 Olvídate del avast y tira ya de soluciones drásticas. Bájate combofix y empieza con la artillería pesada hombre xD

Uriel246 #20 Jul '12

#15 La verdad, nunca he tenido que formatear por culpa de un virus (apenas si he tenido problemas con virus, es lo que tiene tener un poco de cabeza y un buen antivirus), aparte yo ya es que cuando formateo no tardo ni un par de horas en tenerlo todo funcionando de nuevo xD.

_Akiles_ #21 Jul '12 Sellsword

Pues yo no conocia combofix, y la primera vez que lo use empezo a cambiar la extension de todos los archivos y a moverlos a una carpeta, menudo cristo me montó, menos mal que tenia punto de restauracion, no se si era un virus o fue un bug del programa o que cojones.

1 respuesta

S

S1L3nCe #22 Jul '12

#21 Puede haber sido cualquier cosa. Incluso puede no haber sido culpa del combofix. Falta mucha información para determinar nada.

Para mi hasta la fecha ha sido, indiscutiblemente, lo más eficiente para virus complicados.

#23 Me ha pagado con creces con las alegrías que me ha dado xD Por cierto, el programa es completamente gratuito.

1 respuesta

Momopiegirl #23 Jul '12

A #22 le paga combofix para hacerle publicidad xDDD

Tiooo,se me está iniciando ahoar,yo creia que se estaba instalando y que luego lo ejecutaria,pero el capullo me ha traicionado xDD y estoy en modo normal...

Me da que no ha funcionado

El Log

spoiler

ComboFix 12-06-28.03 - Sandra 05/07/2012 21:52:56.1.4 - x64
Microsoft Windows 7 Home Premium 6.1.7601.1.1252.34.3082.18.3959.2195 [GMT 2:00]
Running from: c:\users\Sandra\Downloads\ComboFix.exe
AV: avast! Antivirus Disabled/Updated {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus Disabled/Updated {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender Enabled/Updated {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\Install.exe
c:\program files (x86)\MPAccess
c:\program files (x86)\MPAccess\babylonSK.exe
c:\program files (x86)\MPAccess\vlc.exe
c:\users\Sandra\AppData\Roaming\OfferBox
c:\users\Sandra\AppData\Roaming\OfferBox\config.dat
c:\users\Sandra\AppData\Roaming\OfferBox\config.xml
c:\windows\s.bat
.
.
((((((((((((((((((((((((( Files Created from 2012-06-05 to 2012-07-05 )))))))))))))))))))))))))))))))
.
.
2012-07-05 20:10 . 2012-07-05 20:10 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-07-05 19:54 . 2012-07-05 19:54 69000 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates{63A68B88-9188-4927-9C42-C45BF7E0B116}\offreg.dll
2012-07-04 00:54 . 2012-07-04 00:54 0 ----a-w- c:\windows\SysWow64\shoEE24.tmp
2012-07-03 11:43 . 2012-05-31 04:04 9013136 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates{63A68B88-9188-4927-9C42-C45BF7E0B116}\mpengine.dll
2012-07-01 13:59 . 2012-06-02 22:19 2428952 ----a-w- c:\windows\system32\wuaueng.dll
2012-07-01 13:59 . 2012-06-02 22:19 57880 ----a-w- c:\windows\system32\wuauclt.exe
2012-07-01 13:59 . 2012-06-02 22:19 44056 ----a-w- c:\windows\system32\wups2.dll
2012-07-01 13:59 . 2012-06-02 22:15 2622464 ----a-w- c:\windows\system32\wucltux.dll
2012-07-01 13:58 . 2012-06-02 22:19 38424 ----a-w- c:\windows\system32\wups.dll
2012-07-01 13:58 . 2012-06-02 22:19 701976 ----a-w- c:\windows\system32\wuapi.dll
2012-07-01 13:58 . 2012-06-02 22:15 99840 ----a-w- c:\windows\system32\wudriver.dll
2012-07-01 13:58 . 2012-06-02 13:19 186752 ----a-w- c:\windows\system32\wuwebv.dll
2012-07-01 13:58 . 2012-06-02 13:15 36864 ----a-w- c:\windows\system32\wuapp.exe
2012-06-21 08:40 . 2012-06-21 08:40 -------- d-----w- c:\program files\iPod
2012-06-21 08:40 . 2012-06-21 08:41 -------- d-----w- c:\program files\iTunes
2012-06-19 19:56 . 2012-06-19 19:57 -------- d-----w- c:\windows\system32\sqlite3.dll
2012-06-17 08:56 . 2010-02-19 12:53 249736 ----a-w- c:\windows\ETDUninst.dll
2012-06-15 21:05 . 2012-06-15 21:05 -------- d-----w- c:\users\Sandra\AppData\Roaming\SUPERAntiSpyware.com
2012-06-15 20:58 . 2012-06-15 20:58 -------- d-----w- c:\users\Sandra\AppData\Local\APN
2012-06-15 20:58 . 2012-06-15 20:58 -------- d-----w- c:\program files (x86)\Webroot
2012-06-15 20:57 . 2012-06-15 20:57 -------- d-----w- c:\programdata\Webroot
2012-06-15 20:57 . 2012-06-15 20:57 -------- d-----w- c:\users\Sandra\AppData\Local\PackageAware
2012-06-15 20:47 . 2012-06-17 08:54 -------- d-----w- c:\program files (x86)\DelPSGuard
2012-06-14 00:46 . 2012-04-26 05:41 149504 ----a-w- c:\windows\system32\rdpcorekmts.dll
2012-06-14 00:46 . 2012-04-26 05:41 77312 ----a-w- c:\windows\system32\rdpwsx.dll
2012-06-14 00:46 . 2012-04-26 05:34 9216 ----a-w- c:\windows\system32\rdrmemptylst.exe
2012-06-14 00:44 . 2012-05-04 11:06 5559664 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-06-14 00:44 . 2012-05-04 10:03 3913072 ----a-w- c:\windows\SysWow64\ntoskrnl.exe
2012-06-14 00:44 . 2012-05-04 10:03 3968368 ----a-w- c:\windows\SysWow64\ntkrnlpa.exe
2012-06-14 00:44 . 2012-05-15 01:32 3146752 ----a-w- c:\windows\system32\win32k.sys
2012-06-14 00:44 . 2012-04-28 03:55 210944 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-06-14 00:44 . 2012-04-07 12:31 3216384 ----a-w- c:\windows\system32\msi.dll
2012-06-14 00:44 . 2012-04-07 11:26 2342400 ----a-w- c:\windows\SysWow64\msi.dll
2012-06-14 00:44 . 2012-04-24 05:37 1462272 ----a-w- c:\windows\system32\crypt32.dll
2012-06-14 00:44 . 2012-04-24 05:37 184320 ----a-w- c:\windows\system32\cryptsvc.dll
2012-06-14 00:44 . 2012-04-24 04:36 1158656 ----a-w- c:\windows\SysWow64\crypt32.dll
2012-06-14 00:44 . 2012-04-24 05:37 140288 ----a-w- c:\windows\system32\cryptnet.dll
2012-06-14 00:44 . 2012-04-24 04:36 140288 ----a-w- c:\windows\SysWow64\cryptsvc.dll
2012-06-14 00:44 . 2012-04-24 04:36 103936 ----a-w- c:\windows\SysWow64\cryptnet.dll
2012-06-07 12:46 . 2012-06-07 12:46 421200 ----a-w- c:\program files (x86)\Mozilla Firefox\msvcp100.dll
2012-06-07 12:46 . 2012-06-07 12:46 770384 ----a-w- c:\program files (x86)\Mozilla Firefox\msvcr100.dll
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-15 20:15 . 2012-04-20 20:49 48648 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup-2\Markup.dll
2012-05-15 20:15 . 2012-04-17 12:04 1176400 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight-2\SpotlightResources.dll
2012-05-07 00:13 . 2012-04-23 09:21 419488 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe
2012-05-07 00:13 . 2011-08-20 23:52 70304 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-05-06 12:29 . 2012-04-03 22:29 48648 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup\Markup.dll
2012-05-06 12:28 . 2012-04-03 22:29 1176400 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2012-04-18 18:56 . 2012-04-18 18:56 94208 ----a-w- c:\windows\SysWow64\QuickTimeVR.qtx
2012-04-18 18:56 . 2012-04-18 18:56 69632 ----a-w- c:\windows\SysWow64\QuickTime.qts
.
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
Note empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects{5E1EDA55-F903-4464-89CF-0D3C962AA4F6}]
2012-03-27 13:08 461672 ----a-w- c:\program files (x86)\Tutoriales100\TutorialesBHO.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ares"="c:\program files (x86)\Ares\Ares.exe" [2010-07-10 1015808]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"IAStorIcon"="c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2009-12-23 284696]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-12-03 35184]
"VeriFaceManager"="c:\program files (x86)\Lenovo\VeriFace\PManage.exe" [2010-06-09 3122528]
"UCam_Menu"="c:\program files (x86)\Lenovo\YouCam\MUITransfer\MUIStartMenu.exe" [2009-05-19 222504]
"YouCam Mirror Tray icon"="c:\program files (x86)\Lenovo\YouCam\YouCamTray.exe" [2009-12-22 167008]
"UpdateP2GShortCut"="c:\program files (x86)\Lenovo\Power2Go\MUITransfer\MUIStartMenu.exe" [2008-12-03 218408]
"AdobeCS5ServiceManager"="c:\program files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" [2010-02-22 406992]
"SwitchBoard"="c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"WTClient"="WTClient.exe" [2009-08-19 32768]
"PlusService"="c:\program files (x86)\Yuna Software\Messenger Plus!\PlusService.exe" [2012-02-07 801792]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-05-30 59280]
"Browser companion helper"="c:\program files (x86)\BrowserCompanion\BCHelper.exe" [2011-10-27 192816]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2012-03-07 4241512]
"Tutorials"="c:\program files (x86)\Tutoriales100\tutoriales.exe" [2012-03-27 4498792]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2012-04-18 421888]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2012-06-07 421776]
.
[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"WLStart"="c:\program files (x86)\Windows Live\Installer\wlstart.exe" [2009-07-26 780616]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\Lenovo\Bluetooth Software\BTTray.exe [2009-8-11 1080608]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"mixer5"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Servicio Google Update (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-12-04 136176]
R2 ReadyComm.DirectRouter;ReadyComm.DirectRouter;c:\windows\System32\IgrsSvcs.exe [x]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-06-05 160944]
R3 Bridge0;Bridge0;c:\windows\system32\drivers\WDBridge.sys [2009-07-16 79376]
R3 btusbflt;Bluetooth USB Filter;c:\windows\system32\drivers\btusbflt.sys [2009-07-01 52264]
R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [2009-04-07 35104]
R3 gupdatem;Servicio de Google Update (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-12-04 136176]
R3 IGRS;IGRS;c:\program files (x86)\Lenovo\ReadyComm\common\IGRS.exe [2009-07-14 38152]
R3 k57nd60a;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60a.sys [2009-06-10 270848]
R3 Lenovo ReadyComm AppSvc;Lenovo ReadyComm AppSvc;c:\program files\Lenovo\ReadyComm\AppSvc.exe [2009-08-14 509192]
R3 Lenovo ReadyComm ConnSvc;Lenovo ReadyComm ConnSvc;c:\program files\Lenovo\ReadyComm\ConnSvc.exe [2009-09-22 579400]
R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-06-16 113120]
R3 netw5v64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit;c:\windows\system32\DRIVERS\netw5v64.sys [2009-06-10 5434368]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
R3 PS_MDP;ReadyComm Presentation Space Helper Service;c:\windows\System32\IgrsSvcs.exe [x]
R3 PTSimHid;PenTablet Simulated HID MiniDriver;c:\windows\system32\DRIVERS\PTSimHid.sys [2009-06-18 17064]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [2010-03-12 242720]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2009-08-20 239616]
R3 SwitchBoard;SwitchBoard;c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 59392]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2012-02-15 52736]
R3 wacmoumonitor;Wacom Mode Helper;c:\windows\system32\DRIVERS\wacmoumonitor.sys [2011-09-08 13312]
R3 WatAdminSvc;Servicio de tecnologías de activación de Windows;c:\windows\system32\Wat\WatAdminSvc.exe [2010-10-17 1255736]
R3 wsvd;wsvd;c:\windows\system32\DRIVERS\wsvd.sys [2009-07-21 121840]
S0 PxHlpa64;PxHlpa64;c:\windows\System32\Drivers\PxHlpa64.sys [2009-07-09 55280]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2012-03-07 69976]
S2 cvhsvc;Client Virtualization Handler;c:\program files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [2012-01-04 822624]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2009-12-23 13336]
S2 sftlist;Application Virtualization Client;c:\program files (x86)\Microsoft Application Virtualization Client\sftlist.exe [2011-10-01 508776]
S2 TabletServicePen;TabletServicePen;c:\program files\Tablet\Pen\Pen_Tablet.exe [2011-09-08 6583160]
S2 TouchServicePen;Wacom Consumer Touch Service;c:\program files\Tablet\Pen\Pen_TouchService.exe [2011-09-08 528760]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-12-09 2320920]
S3 ACPIVPC;Lenovo Virtual Power Controller Driver;c:\windows\system32\DRIVERS\AcpiVpc.sys [2009-10-19 28176]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [2009-09-17 56344]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [2010-02-26 158976]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda64v.sys [2009-11-12 84584]
S3 PTSimBus;PenTablet Bus Enumerator;c:\windows\system32\DRIVERS\PTSimBus.sys [2009-06-18 27304]
S3 Sftfs;Sftfs;c:\windows\system32\DRIVERS\Sftfslh.sys [2011-10-01 764264]
S3 Sftplay;Sftplay;c:\windows\system32\DRIVERS\Sftplaylh.sys [2011-10-01 268648]
S3 Sftredir;Sftredir;c:\windows\system32\DRIVERS\Sftredirlh.sys [2011-10-01 25960]
S3 Sftvol;Sftvol;c:\windows\system32\DRIVERS\Sftvollh.sys [2011-10-01 22376]
S3 sftvsa;Application Virtualization Service Agent;c:\program files (x86)\Microsoft Application Virtualization Client\sftvsa.exe [2011-10-01 219496]
S3 usbsmi;Lenovo EasyCamera;c:\windows\system32\DRIVERS\SMIksdrv.sys [2010-01-22 197888]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-14 17920]
S3 wdmirror;wdmirror;c:\windows\system32\DRIVERS\WDMirror.sys [2009-07-16 11280]
.
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
IgrsSvcs REG_MULTI_SZ ReadyComm.DirectRouter PS_MDP
.
Contents of the 'Scheduled Tasks' folder
.
2012-07-03 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2204330933-1590413690-3746068221-1000Core.job

c:\users\Sandra\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-02-15 23:19]
.
2012-07-05 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2204330933-1590413690-3746068221-1000UA.job
c:\users\Sandra\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-02-15 23:19]
.
2012-07-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-12-04 20:21]
.
2012-07-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-12-04 20:21]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID{472083B0-C522-11CF-8763-00608CC02F24}]
2012-03-07 00:15 135408 ----a-w- c:\program files\AVAST Software\Avast\ashShA64.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\VeriFace Enc]
@="{771C7324-DA80-49D3-8017-753B0AF60951}"
[HKEY_CLASSES_ROOT\CLSID{771C7324-DA80-49D3-8017-753B0AF60951}]
2010-06-09 17:56 1502720 ----a-w- c:\windows\System32\IcnOvrly.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-12-11 16414312]
"cAudioFilterAgent"="c:\program files\Conexant\cAudioFilterAgent\cAudioFilterAgent64.exe" [2010-03-22 521272]
"OnekeyStudio"="c:\program files (x86)\Lenovo\Onekey Theater\OnekeyStudio.exe" [2009-12-19 776608]
"EnergyUtility"="c:\program files (x86)\Lenovo\Energy Management\utility.exe" [2009-12-17 4367808]
"Energy Management"="c:\program files (x86)\Lenovo\Energy Management\Energy Management.exe" [2009-12-17 6988736]
"AdobeAAMUpdater-1.0"="c:\program files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2009-03-24 2184520]
"CanonSolutionMenu"="c:\program files (x86)\Canon\SolutionMenu\CNSLMAIN.exe" [2009-03-18 767312]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Supplementary Scan -------
.
uStart Page = hxxp://es.ask.com/?l=dis&o=APN10171&gct=hp
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\system32\blank.htm
uInternet Settings,ProxyOverride = *.local
IE: Enviar imagen al dispositivo &Bluetooth... - c:\program files\Lenovo\Bluetooth Software\btsendto_ie_ctx.htm
IE: Enviar página al dispositivo &Bluetooth... - c:\program files\Lenovo\Bluetooth Software\btsendto_ie.htm
TCP: DhcpNameServer = 87.216.1.65 87.216.1.66
FF - ProfilePath - c:\users\Sandra\AppData\Roaming\Mozilla\Firefox\Profiles\z4ueyh0t.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1854633&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - about:home
FF - prefs.js: keyword.URL - hxxp://www.plusnetwork.com/?sp=addr&q=
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - ORPHANS REMOVED - - - -
.
Toolbar-Locked - (no file)
Toolbar-Locked - (no file)
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
.
.
.
--------------------- LOCKED REGISTRY KEYS ---------------------
.
[HKEY_USERS\S-1-5-21-2204330933-1590413690-3746068221-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts.eml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.Email.1"
.
[HKEY_USERS\S-1-5-21-2204330933-1590413690-3746068221-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts.vcf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.VCard.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\windows\SysWOW64\Macromed\Flash\FlashUtil10k_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\windows\SysWOW64\Macromed\Flash\FlashUtil10k_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\windows\SysWOW64\Macromed\Flash\Flash10k.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\windows\SysWOW64\Macromed\Flash\Flash10k.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\windows\SysWOW64\Macromed\Flash\Flash10k.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\windows\SysWOW64\Macromed\Flash\Flash10k.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee]
"SymbolicLinkValue"=hex(6):5c,00,72,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,6d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,6f,00,66,00,\
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Completion time: 2012-07-05 22:30:23
ComboFix-quarantined-files.txt 2012-07-05 20:30
.
Pre-Run: 168.309.428.224 bytes libres
Post-Run: 199.341.744.128 bytes libres
.
- End Of File - - B1DF953430B42AD248A6F38A09C5F1A0

2 respuestas

S

S1L3nCe #24 Jul '12

#23 Joder, mira que es raro xD

Prueba con Spybot Search & Destroy http://www.safer-networking.org/es/download/index.html

icetor #25 Jul '12

en el tiempo que has perdido haciendo todo lo anterior habrias formateado e instalado un windows limpio 5 veces, pero puedes seguir probando chorradas en modo a prueba de fallos...

1 respuesta

S

S1L3nCe #26 Jul '12

#25 Sí, pero siempre se aprende algo Si no que se lo digan a él.

Yo que me dedico a estas cosas, si puedo evitar el formatear mejor que mejor ya que muchos virus, aunque puedan ser chungos de eliminar y llevarte horas o días, cuando das con la solución lo habitual es que si te vuelves a encontrar con la misma amenaza o similar tardes -1 en eliminarla.

Pero si no hay interés en aprender del tema o no hay tiempo desde luego que lo mejor es formatear. Y si tienes una imagen sana de sistema ya ni te digo xD

mlCriS #27 Jul '12

#17 creo que pregunta por que es tan importante poner modo seguro con funciones de red cuando simplemente puedes actualizar los antimalware en modo normal antes de reiniciar en modo seguro (sin funciones de red)

1 respuesta

Momopiegirl #28 Jul '12

#27 entonces es mejor hacerlo en modo seguro sin funciones de red no? al menos siempre que dicen de usar programas como combofix he visto por ahi que recomiendan no tener internet puesto

Pd: el problema persiste y me estoy desquiziando xDD

1 respuesta