Secuestrado administrador de tareas, opciones de carpeta, inicio--ejecutar(TERMINADO)

[eskartxa]

Pues lo dicho, tengo secuestrado el administrador de tareas (al pulsar ctrl+alt+supr me dice que el administrador ha sido deshabilitado por un administrador y el equipo es un portatil con winxp home en el que solo tengo un usuario), además no puedo acceder a inicio--ejecutar, en el explorador de windows no me aparece en el menú Herramientas--Opciones de carpeta.No me deja reiniciar en modo a prueba de fallos y me saltan pantallazos azules de error.

Hasta hace nada no podía navegar por webs que tuviesen en la url la palabra antivirus, ni me dejaba instalar o actualizar las bases de datos de algunos antivirus como el avg o el avast. Ya puedo navegar por todas las webs.

Este es mi log de HijackThis. Gracias de antemano por vuestra labor.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 1:53:24, on 30/08/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe

C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Java\jre6\bin\jusched.exe

C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\documents and settings\administrador2\configuración local\datos de programa\jnbeiehk.exe

C:\WINDOWS\RaUI.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Java\jre6\bin\java.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\NOTEPAD.EXE



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll

O3 - Toolbar: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Symantec Configuration Server] symcfgsrv.exe

O4 - HKLM\..\Run: [Ad-Watch] C:\Archivos de programa\Lavasoft\Ad-Aware\AAWTray.exe

O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\ADMINISTRADOR2\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [jnbeiehk] "c:\documents and settings\administrador2\configuración local\datos de programa\jnbeiehk.exe" jnbeiehk

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Ralink Wireless Utility.lnk = C:\WINDOWS\RaUI.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - Unknown owner - C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe



--

End of file - 6100 bytes

[msc hotline sat]

VEmos sospechosos:



c:\windows\system32\symcfgsrv.exe (Ver nota al final)



c:\documents and settings\administrador2\configuración local\datos de programa\jnbeiehk.exe



[b]ENVIANOSLOS PARA ANALIZAR.[/b]





Y ELIMINA ESTA CLAVE:



O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)



Ya que es de AVG V8 y estás usando el AVIRA, puede ser un resto antiguo que solo molesta.







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 30-8-2009











NOTA: Este fichero c:\windows\system32\symcfgsrv.exe del que te pedimos nos envies muestra, es un típico malware del que ya controlamos otras variantes (no sé si esta) que desactiva el poder ver ficheros ocultos, atributo que él tiene, y asi dificulta su detección. Para sacarlo de circulacion y poder enviarnoslo, prueba el ELIMOVER:



ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp







Y marcar de paso la casilla inferior izquierda de la ventana de dicha utilidad, para que al fichero original le sea añadida la extension .VIR y asi no pueda lanzarse a partir del siguiente reinicio.



ms.

[eskartxa]

Muchas gracias por la ayuda, siguiendo instrucciones de otro experto que me recomendó utilizar el Malwarebyte’s AntiMalwares, el Ccleaner y el ComboFix parece que el virus ha sido eliminado. Estoy a vuestra disposición para colaborar con vosotros en lo que pueda. Un saludo y de nuevo muchas gracias. Haceis de Internet el espacio de colaboración y solidaridad que nunca debió dejar de ser.



Este es el log que creó el ComboFix:



ComboFix 09-09-01.07 - ADMINISTRADOR2 02/09/2009 23:01.1.1 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.3.1252.34.3082.18.750.547 [GMT 2:00]

Running from: c:\documents and settings\ADMINISTRADOR2\Escritorio\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

* Created a new restore point



WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.



((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.



c:\recycler\S-1-5-21-1708537768-1677128483-839522115-1004



.

((((((((((((((((((((((((( Files Created from 2009-08-02 to 2009-09-02 )))))))))))))))))))))))))))))))

.



2099-01-09 13:16 . 2099-01-09 13:16 -------- d-sh--w- C:\FOUND.001

2009-09-02 19:52 . 2009-09-02 19:52 -------- d-----w- c:\documents and settings\ADMINISTRADOR2\Datos de programa\Malwarebytes

2009-09-02 19:52 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-09-02 19:52 . 2009-09-02 19:52 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Datos de programa\Malwarebytes

2009-09-02 19:52 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-09-02 19:52 . 2009-09-02 19:52 -------- d-----w- c:\archivos de programa\Malwarebytes' Anti-Malware

2009-08-30 23:54 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys

2009-08-30 23:54 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2009-08-30 23:54 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2009-08-30 23:54 . 2009-08-30 23:54 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Datos de programa\Avira

2009-08-30 23:54 . 2009-08-30 23:54 -------- d-----w- c:\archivos de programa\Avira

2009-08-30 22:42 . 2009-08-30 22:42 108552 ----a-w- c:\windows\system32\drivers\avgtdix.sys

2009-08-30 22:42 . 2009-08-30 22:42 335240 ----a-w- c:\windows\system32\drivers\avgldx86.sys

2009-08-30 22:42 . 2009-08-30 22:42 27784 ----a-w- c:\windows\system32\drivers\avgmfx86.sys

2009-08-30 06:45 . 2009-08-30 22:03 -------- d-----w- c:\windows\BDOSCAN8

2009-08-30 05:19 . 2009-08-30 07:51 -------- d-----w- c:\archivos de programa\Archivos comunes\Symantec Shared

2009-08-30 05:15 . 2009-08-30 07:52 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Datos de programa\Norton

2009-08-30 05:15 . 2009-08-30 05:15 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Datos de programa\Symantec

2009-08-30 05:15 . 2009-08-30 05:15 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Datos de programa\NortonInstaller

2009-08-30 02:11 . 2009-08-30 02:11 -------- d-----w- c:\archivos de programa\ESET

2009-08-29 23:41 . 2009-08-29 23:41 102664 ----a-w- c:\windows\system32\drivers\tmcomm.sys

2009-08-29 23:41 . 2009-08-30 04:59 -------- d-----w- c:\documents and settings\ADMINISTRADOR2\.housecall6.6

2009-08-29 23:34 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys

2009-08-29 23:33 . 2009-08-29 23:33 -------- d-----w- c:\archivos de programa\Panda Security

2009-08-29 22:50 . 2009-08-29 22:50 -------- d-----w- c:\archivos de programa\Trend Micro

2009-08-29 21:45 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2009-08-29 06:58 . 2009-08-29 07:07 -------- d---a-w- c:\documents and settings\All Users.WINDOWS\Datos de programa\TEMP

2009-08-29 06:31 . 2009-08-29 06:32 -------- d-----w- c:\archivos de programa\clam

2009-08-29 06:25 . 2009-08-30 00:18 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Datos de programa\Yahoo! Companion

2009-08-29 06:25 . 2009-08-29 06:25 -------- d-----w- c:\documents and settings\ADMINISTRADOR2\Datos de programa\Yahoo!

2009-08-29 06:25 . 2009-08-29 06:26 -------- d-----w- c:\archivos de programa\Yahoo!

2009-08-29 06:25 . 2009-08-29 06:26 -------- d-----w- c:\archivos de programa\CCleaner

2009-08-29 01:58 . 2009-08-30 23:52 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Datos de programa\avg8

2009-08-29 01:58 . 2009-08-29 01:58 -------- d-----w- c:\archivos de programa\AVG

2009-08-29 01:31 . 2009-08-29 00:48 15688 ----a-w- c:\windows\system32\lsdelete.exe

2009-08-29 00:52 . 2009-08-31 03:46 -------- d-----w- c:\documents and settings\LocalService.NT AUTHORITY\Escritorio

2009-08-29 00:48 . 2009-08-29 00:48 -------- dc----w- c:\windows\system32\DRVSTORE

2009-08-29 00:48 . 2009-08-29 00:47 64160 ----a-w- c:\windows\system32\drivers\Lbd.sys

2009-08-29 00:43 . 2009-08-29 00:43 -------- dc-h--w- c:\documents and settings\All Users.WINDOWS\Datos de programa\{83C91755-2546-441D-AC40-9A6B4B860800}

2009-08-29 00:43 . 2009-08-29 00:48 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Datos de programa\Lavasoft

2009-08-29 00:43 . 2009-08-29 00:43 -------- d-----w- c:\archivos de programa\Lavasoft

2009-08-28 06:50 . 2009-08-28 06:50 -------- d-----w- c:\archivos de programa\Alwil Software

2009-08-22 21:17 . 2009-08-22 21:17 -------- d-----w- c:\archivos de programa\IZArc

2009-08-21 15:06 . 2009-08-21 15:06 -------- d-----r- c:\documents and settings\ADMINISTRADOR2\Menú Inicio

2009-08-13 09:32 . 2009-08-13 09:32 -------- d-----w- c:\archivos de programa\Rico Software

2009-08-07 23:33 . 2009-08-19 16:04 -------- d-----w- c:\archivos de programa\DreaMule

2009-08-06 23:49 . 2009-08-06 23:49 -------- d-sh--w- c:\windows\ftpcache

2009-08-06 23:49 . 2009-08-06 23:49 -------- d-----w- c:\archivos de programa\FLV-Media Player

2009-08-04 23:00 . 2009-08-04 23:01 -------- d-----w- C:\Mis lugares Web

2009-08-04 22:58 . 2009-08-04 22:58 -------- d-----w- c:\archivos de programa\WinHTTrack



.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-01 00:37 . 2009-05-30 17:25 -------- d-----w- c:\documents and settings\ADMINISTRADOR2\Datos de programa\dvdcss

2009-08-31 04:05 . 2009-05-13 18:00 664 ----a-w- c:\windows\system32\d3d9caps.dat

2009-08-07 23:27 . 2009-07-29 23:15 -------- d-----w- c:\archivos de programa\The KMPlayer

2009-08-04 22:24 . 2009-07-07 18:08 -------- d-----w- c:\archivos de programa\Java

2009-07-25 03:23 . 2009-07-07 18:08 411368 ----a-w- c:\windows\system32\deploytk.dll

2009-07-22 22:45 . 2009-05-20 15:26 -------- d-----w- c:\archivos de programa\ContaHogar

2009-07-20 11:05 . 2008-09-23 10:49 -------- d--h--w- c:\archivos de programa\InstallShield Installation Information

2009-07-14 21:23 . 2009-07-09 15:38 -------- d-----w- c:\documents and settings\ADMINISTRADOR2\Datos de programa\FrostWire

2009-07-09 20:28 . 2009-07-09 20:26 -------- d-----w- c:\archivos de programa\QuickTime

2009-07-09 20:26 . 2009-07-09 20:26 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Datos de programa\Apple Computer

2009-07-06 23:17 . 2009-07-06 23:17 0 ----a-w- c:\windows\nsreg.dat

.



((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4



[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"="c:\archivos de programa\Messenger\msmsgs.exe" [2008-04-14 1695232]

"Google Update"="c:\documents and settings\ADMINISTRADOR2\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" [2009-07-28 133104]



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Adobe Reader Speed Launcher"="c:\archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]

"TkBellExe"="c:\archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" [2009-07-01 198160]

"QuickTime Task"="c:\archivos de programa\QuickTime\qttask.exe" [2009-05-26 413696]

"SunJavaUpdateSched"="c:\archivos de programa\Java\jre6\bin\jusched.exe" [2009-07-25 149280]

"Ad-Watch"="c:\archivos de programa\Lavasoft\Ad-Aware\AAWTray.exe" [2009-08-29 520024]

"avgnt"="c:\archivos de programa\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]



[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]



c:\documents and settings\All Users.WINDOWS\Men£ Inicio\Programas\Inicio\

Ralink Wireless Utility.lnk - c:\windows\RaUI.exe [2009-5-6 598016]



[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)



[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\WINDOWS\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Archivos de programa\\Ares\\Ares.exe"=



[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"1405:TCP"= 1405:TCP:cuponeq



R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [29/08/2009 2:48 64160]

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [30/08/2009 1:34 28544]

R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [31/08/2009 0:42 108552]

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\archivos de programa\Avira\AntiVir Desktop\sched.exe [31/08/2009 1:54 108289]

S1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [31/08/2009 0:42 335240]

S2 avg8wd;AVG Free8 WatchDog;c:\archiv~1\AVG\AVG8\avgwdsvc.exe --> c:\archiv~1\AVG\AVG8\avgwdsvc.exe [?]

S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\archivos de programa\Lavasoft\Ad-Aware\AAWService.exe [18/01/2009 23:34 1029456]

S2 uazsom;Center Time;c:\windows\system32\svchost.exe -k netsvcs [20/08/2004 14:00 14336]



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

uazsom

.

Contents of the 'Scheduled Tasks' folder



2009-08-31 c:\windows\Tasks\Ad-Aware Update (Weekly).job

- c:\archivos de programa\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 00:47]



2009-08-27 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\archivos de programa\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

.

- - - - ORPHANS REMOVED - - - -



HKLM-Run-Symantec Configuration Server - symcfgsrv.exe

Notify-avgrsstarter - avgrsstx.dll





.

------- Supplementary Scan -------

.

IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~2\Office10\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\ADMINISTRADOR2\Datos de programa\Mozilla\Firefox\Profiles\oa6b4n4k.default\

.



**************************************************************************



catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-09-02 23:10

Windows 5.1.2600 Service Pack 3 NTFS



scanning hidden processes ...



scanning hidden autostart entries ...



scanning hidden files ...



scan completed successfully

hidden files: 0



**************************************************************************

.

Completion time: 2009-09-02 23:13

ComboFix-quarantined-files.txt 2009-09-02 21:13



Pre-Run: 12.377.513.984 bytes libres

Post-Run: 12.529.123.328 bytes libres



146 --- E O F --- 2008-11-12 02:02

[msc hotline sat]

No trabajamos con estas herramientas, pero ya que se ha puesto en manos de otros técnicos, y no ha seguido nuestras indicaciones, esperamos que le sean de utilidad y dando por terminado este Tema, procedemos a cerrarlo.



saludos



ms, 3-9-2009









NOTA:



Fijarse además que las dos utilidades que se pedían para analizar y controlar:



[b][i]

[quote]VEmos sospechosos:



c:\windows\system32\symcfgsrv.exe

c:\documents and settings\administrador2\configuración local\datos de programa\jnbeiehk.exe



ENVIANOSLOS PARA ANALIZAR[/quote].[/i][/b]



son las que ha eliminado con las utilidades externas:





[b][i] [quote]- - - ORPHANS REMOVED - - - -



HKLM-Run-Symantec Configuration Server - symcfgsrv.exe

Notify-avgrsstarter - avgrsstx.dll

[/quote][/i][/b]



Así ha hecho un flaco favor a este foro !!!



ms.