Sorry for my last operation, i didn't wait enough to generate combofix.log, now I have the correct one.
But, before this second combofix operation, I run malwarebyte again and this found 17 files infected. It's not the first time that malwarebyte find it, but always delete it sucessfully, but sometimes the same 17 files appear again.
In Qoobox folder had two log files: Add-Remove Programs.txt and ComboFix-quarantined-files.txt. so now I will show 4 log files.
1.- Combofix.txt
2.- Add-Remove Programs.txt
3.- ComboFix-quarantined-files.txt
4.- mbam-log-8-5-2008 (13-35-19).txt ( malwarebit log )
Thank you again for your patience and work.
Josemari
-------------------------------------------------------------------------------
1.- Combofix.txt
ComboFix 08-08-04.01 - JOSEMARI 2008-08-05 13:47:26.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.258 [GMT 2:00]
Se ejecuta desde: C:\Documents and Settings\JOSEMARI\Escritorio\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\Nobicyt.exe
.
---- Previous Run -------
.
C:\d.exe
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\Help\access.hlp
C:\WINDOWS\Help\chscxdyv.fy
C:\WINDOWS\Help\verifier.hlp
C:\WINDOWS\system32\afinding.exe
C:\WINDOWS\system32\comsa32.sys
C:\WINDOWS\system32\drivers\atmapi.sys
C:\WINDOWS\system32\drivers\lrj47.sys
C:\WINDOWS\system32\mdfg.odl
C:\WINDOWS\system32\mdm.exe
C:\WINDOWS\system32\Nobicyt.exe
C:\WINDOWS\system32\nvrsul32.dll
C:\WINDOWS\system32\routing.exe
C:\WINDOWS\system32\sfmrr.r
C:\WINDOWS\system32\WServing.exe
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_AFINDING
-------\Legacy_lrj47
-------\Legacy_PERFMONS
-------\Legacy_ROUTING
-------\Legacy_WSERVING
-------\Service_AFinding
-------\Service_lrj47
-------\Service_perfmons
-------\Service_Routing
-------\Service_WServing
-------\Legacy_AFINDING
-------\Legacy_PERFMONS
-------\Legacy_ROUTING
-------\Legacy_WSERVING
-------\Service_lrj47
-------\Legacy_AFINDING
-------\Legacy_PERFMONS
-------\Legacy_ROUTING
-------\Legacy_WSERVING
(((((((((((((((((( Archivos creados desde 2008-07-05 - 2008-08-05 )))))))))))))))))))))))))))))))))
.
2008-08-04 00:08 . 2008-08-04 00:08 <DIR> d-------- C:\_OTMoveIt
2008-08-03 13:17 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-08-03 13:15 . 2008-08-03 13:17 <DIR> d-------- C:\Archivos de programa\Java
2008-08-03 13:15 . 2008-08-03 13:15 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Java
2008-08-01 16:39 . 2008-08-01 16:39 <DIR> d-------- C:\Deckard
2008-08-01 12:01 . 2008-08-01 12:03 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-08-01 11:44 . 2008-08-01 11:44 <DIR> d---s---- C:\Documents and Settings\LocalService\UserData
2008-07-30 14:55 . 2008-07-30 14:55 749 -rah----- C:\WINDOWS\WindowsShell.Manifest
2008-07-30 14:55 . 2008-07-30 14:55 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest
2008-07-30 14:55 . 2008-07-30 14:55 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest
2008-07-30 14:55 . 2008-07-30 14:55 749 -rah----- C:\WINDOWS\system32\nwc.cpl.manifest
2008-07-30 14:55 . 2008-07-30 14:55 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest
2008-07-30 14:55 . 2008-07-30 14:55 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest
2008-07-30 14:46 . 2001-08-17 20:12 19,017 --a------ C:\WINDOWS\system32\drivers\RTL8029.sys
2008-07-29 11:30 . 2008-07-29 12:31 <DIR> d-------- C:\Documents and Settings\JOSEMARI\Datos de programa\Any Video Converter
2008-07-29 11:30 . 2008-07-29 11:31 <DIR> d-------- C:\Archivos de programa\Any Video Converter
2008-07-27 16:14 . 2008-07-27 16:14 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-07-25 22:45 . 2008-07-25 22:45 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-07-25 21:55 . 2004-08-19 15:43 25,088 --a------ C:\WINDOWS\system32\winhdn32.dll
2008-07-25 21:22 . 2008-07-25 21:22 <DIR> d-------- C:\Documents and Settings\JOSEMARI\Datos de programa\Malwarebytes
2008-07-25 21:22 . 2008-07-25 21:22 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-07-25 21:22 . 2008-07-23 20:20 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-07-25 21:22 . 2008-07-23 20:20 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-25 21:17 . 2008-07-25 21:22 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d--h----- C:\Documents and Settings\Administrador\Reciente
2008-07-25 17:23 . 2007-01-27 14:15 <DIR> d--h----- C:\Documents and Settings\Administrador\Plantillas
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d-------- C:\Documents and Settings\Administrador\Mis documentos
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> dr------- C:\Documents and Settings\Administrador\Men£ Inicio
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d--h----- C:\Documents and Settings\Administrador\Impresoras
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d-------- C:\Documents and Settings\Administrador\Favoritos
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d-------- C:\Documents and Settings\Administrador\Escritorio
2008-07-25 17:23 . 2006-10-15 19:50 <DIR> d--h----- C:\Documents and Settings\Administrador\Entorno de red
2008-07-25 17:23 . 2007-10-05 22:00 <DIR> dr-h----- C:\Documents and Settings\Administrador\Datos de programa
2008-07-25 17:23 . 2008-07-25 17:23 <DIR> d--h----- C:\Documents and Settings\Administrador\Configuraci¢n local
2008-07-25 17:23 . 2008-07-25 17:23 <DIR> d-------- C:\Documents and Settings\Administrador
2008-07-25 17:00 . 2004-08-19 15:43 25,088 --a------ C:\WINDOWS\system32\{7e853d72-626a-48ec-a868-ba8d5e23e045}
2008-07-25 16:48 . 2008-07-25 16:48 98,816 --a------ C:\WINDOWS\system32\fre.xc
2008-07-25 16:48 . 2008-07-25 16:48 29 --a------ C:\WINDOWS\system32\oiypefhr.tmp
2008-07-25 16:48 . 2008-07-25 16:48 2 --a------ C:\-1072858546
2008-07-25 16:48 . 2008-07-25 21:05 0 --a------ C:\WINDOWS\system32\drivers\4200a86b.sys
2008-07-24 11:04 . 2008-07-24 11:04 <DIR> d-------- C:\Documents and Settings\JOSEMARI\Datos de programa\Media Player Classic
2008-07-24 11:01 . 2008-07-24 11:44 <DIR> d-------- C:\Archivos de programa\AviSynth 2.5
2008-07-24 11:01 . 2008-07-24 11:01 <DIR> d-------- C:\Archivos de programa\AML Products
2008-07-19 18:48 . 2008-07-19 18:48 2,210 --a------ C:\WINDOWS\coolmp3.ini
2008-07-17 21:31 . 2008-07-17 21:31 <DIR> d-------- C:\Archivos de programa\Free PDF to Word Doc Converter
2008-07-08 18:48 . 2008-07-08 18:48 <DIR> d-------- C:\DVDVideoSoft
2008-07-08 14:33 . 2008-07-08 14:33 <DIR> d-------- C:\Archivos de programa\GeoVid
2008-07-08 14:12 . 2008-07-08 14:13 29 --a------ C:\WINDOWS\coolacm.ini
2008-07-08 13:13 . 2008-07-08 15:45 <DIR> d-------- C:\Documents and Settings\JOSEMARI\Datos de programa\Ulead Systems
2008-07-08 13:09 . 2008-07-08 13:09 <DIR> d-------- C:\SmartSound Software
2008-07-08 13:08 . 2008-07-08 16:47 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SmartSound Software Inc
2008-07-08 13:08 . 2008-07-08 13:08 <DIR> d-------- C:\Archivos de programa\SmartSound Software
2008-07-08 13:06 . 2008-07-08 13:06 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\InstallShield
2008-07-08 13:06 . 2008-07-08 13:06 <DIR> d-------- C:\Archivos de programa\Windows Media Components
2008-07-08 13:03 . 2008-07-08 13:03 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Ulead Systems
2008-07-08 13:02 . 2008-07-08 13:12 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Ulead Systems
2008-07-08 13:02 . 2008-07-08 13:02 <DIR> d-------- C:\Archivos de programa\Ulead Systems
2008-07-08 11:19 . 2003-10-03 16:28 45,056 --a------ C:\WINDOWS\system32\vusetup.dll
2008-07-08 11:19 . 2003-08-04 17:29 11,392 --a------ C:\WINDOWS\system32\drivers\vulfntr.sys
2008-07-08 11:19 . 2003-08-04 17:29 6,912 --a------ C:\WINDOWS\system32\drivers\vulfnth.sys
.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-04 16:08 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Google Updater
2008-08-03 11:01 --------- d-----w C:\Archivos de programa\Google
2008-08-03 11:00 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2008-08-03 10:15 --------- d-----w C:\Archivos de programa\Archivos comunes\Adobe
2008-07-29 09:48 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\pdf995
2008-07-22 21:48 --------- d-----w C:\Archivos de programa\Cool2000
2008-07-21 14:38 --------- d-----w C:\Documents and Settings\JOSEMARI\Datos de programa\Canon
2008-07-08 16:48 --------- d-----w C:\Archivos de programa\DVDVideoSoft
2008-07-08 16:48 --------- d-----w C:\Archivos de programa\Archivos comunes\DVDVideoSoft
2008-07-08 11:02 --------- d-----w C:\Archivos de programa\Archivos comunes\InstallShield
2008-07-04 14:34 --------- d-----w C:\Archivos de programa\Windows Live Safety Center
2008-06-23 14:51 --------- d-----w C:\Archivos de programa\Archivos comunes\xing shared
2008-06-23 14:50 --------- d-----w C:\Archivos de programa\Archivos comunes\Real
2008-06-11 15:19 --------- d-----w C:\Archivos de programa\CCleaner
2008-06-06 15:18 --------- d-----w C:\Archivos de programa\Enigma Software Group
2008-06-06 14:52 --------- d-----w C:\Archivos de programa\Microsoft AntiSpyware
2008-06-05 18:50 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal
2008-06-05 18:50 --------- d-----w C:\Archivos de programa\Kaspersky Lab
.
- Code: Select all
<pre> ----a-w 2,129,920 2006-03-15 10:48:04 C:\Documents and Settings\JOSEMARI\Escritorio\CD-Proyecto Inglaterra\A.- Material Didáctico Informática Aplicada\7 - Teoría y Prácticas de Visual Basic\Prácticas\Proyectos alumnos\Antonio Pérez sánchez - 2006 .exe ----a-w 1,077,248 2007-12-29 19:27:01 C:\Documents and Settings\JOSEMARI\Escritorio\CD-Proyecto Inglaterra\A.- Material Didáctico Informática Aplicada\7 - Teoría y Prácticas de Visual Basic\Prácticas\Proyectos alumnos\Jorge A Rosa López - 2006 .exe ----a-w 69,632 2006-03-15 10:33:43 C:\Documents and Settings\JOSEMARI\Escritorio\CD-Proyecto Inglaterra\A.- Material Didáctico Informática Aplicada\7 - Teoría y Prácticas de Visual Basic\Prácticas\Proyectos alumnos\Manuel Bello - 2006 .exe </pre>
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogitechSoftwareUpdate"="C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" [2005-06-08 14:44 196608]
"DrvMon.exe"="C:\WINDOWS\System32\DrvMon.exe" [2004-09-10 04:16 53248]
"MSMSGS"="C:\Archivos de programa\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:42 15360]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-29 19:09 68856]
"H/PC Connection Agent"="C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 23:18 1211176]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"InCD"="C:\Archivos de programa\Ahead\InCD\InCD.exe" [2004-09-13 11:51 1450096]
"LVCOMSX"="C:\WINDOWS\System32\LVCOMSX.EXE" [2005-07-19 17:32 221184]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-02-21 04:01 28675]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2006-10-25 19:58 282624]
"Adobe Reader Speed Launcher"="C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"TkBellExe"="C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" [2008-06-23 16:49 185896]
"UVS10 Preload"="C:\Archivos de programa\Ulead Systems\Ulead VideoStudio 10\uvPL.exe" [2006-05-17 14:23 36864]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 13:22 86016]
"KAVPersonal50"="C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" [2004-10-07 11:51 127079]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"SoundMan"="SOUNDMAN.EXE" [2002-03-21 04:23 46592 C:\WINDOWS\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15:42 15360]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoViewOnDrive"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.xvid"= xvid.dll
"msacm.dvacm"= C:\ARCHIV~1\ARCHIV~1\ULEADS~1\Vio\Dvacm.acm
"msacm.MPEGacm"= C:\ARCHIV~1\ARCHIV~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= C:\ARCHIV~1\ARCHIV~1\ULEADS~1\MPEG\ulmp3acm.acm
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^HP Digital Imaging Monitor.lnk]
path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^InterVideo WinCinema Manager.lnk]
path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HbTools]
C:\Archivos de programa\HbTools\Bin\4.8.2.0\HbtOEAddOn.exe [N/A]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2005-05-11 23:12 49152 C:\Archivos de programa\HP\HP Software Update\hpwuSchd2.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
--a------ 2005-06-08 15:24 458752 C:\Archivos de programa\Logitech\Video\ISStart.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
--a------ 2005-06-08 15:14 217088 C:\Archivos de programa\Logitech\Video\LogiTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 18:24 1694208 C:\Archivos de programa\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SystemDoctor 2006 Free]
C:\Archivos de programa\SystemDoctor 2006 Free\sd2006.exe [N/A]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\usdr6cw]
C:\Archivos de programa\SystemDoctor 2006 Free\usdr6cw.exe [N/A]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WeatherOnTray]
C:\Archivos de programa\HbTools\Bin\4.8.2.0\HbtWeatherOnTray.exe [N/A]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Xanadu]
--a------ 2002-08-14 17:26 819200 C:\Archivos de programa\Foreignword\Xanadu\Xanadu.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2002-03-21 04:23 46592 C:\WINDOWS\SOUNDMAN.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SPYWAREfighterRP"=3 (0x3)
"kavsvc"=2 (0x2)
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\Archivos de programa\Microsoft ActiveSync\rapimgr.exe"= C:\Archivos de programa\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"= C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Archivos de programa\Microsoft ActiveSync\WCESMgr.exe"= C:\Archivos de programa\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\CS1.6 pod-Bot\\hl.exe"=
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"=
"C:\\CS1.6 pod-Bot\\hltv.exe"=
"C:\\WINDOWS\\PCHEALTH\\HELPCTR\\Binaries\\HelpCtr.exe"=
"C:\\Archivos de programa\\Kaspersky Lab\\Kaspersky Anti-Virus Personal\\kavsvc.exe"=
"C:\\WINDOWS\\system32\\winver.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
R1 Klmc;Klmc;C:\WINDOWS\system32\drivers\klmc.sys [2004-10-07 11:52]
S1 4200a86b;4200a86b;C:\WINDOWS\system32\drivers\4200a86b.sys [2008-07-25 21:05]
S1 lusbaudio;Micrófono USB de Logitech;C:\WINDOWS\system32\drivers\OVSound2.sys [2001-08-17 23:05]
S2 mshlpkd;Microsoft File Mapping Service;C:\WINDOWS\system32\mshlp.exe [2004-08-19 15:43]
S3 pfsvgae;pfsvgae;C:\DOCUME~1\JOSEMARI\CONFIG~1\Temp\pfsvgae.sys []
S3 QCEmerald;Logitech QuickCam Web;C:\WINDOWS\system32\DRIVERS\OVCE.sys [2001-08-17 23:05]
S3 SetupNTGLM7X;SetupNTGLM7X;E:\NTGLM7X.sys []
S3 usbscan;Controlador de escáner USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 23:58]
S3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{139f6f67-9b2c-11db-898d-00c0dff5cee3}]
\Shell\AutoRun\command - G:\loader.exe
.
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\JOSEMARI\Datos de programa\Mozilla\Firefox\Profiles\54kybzys.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://descargar.mp3.es/es/index.php?rv ... d=79919291
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-05 13:52:40
Windows 5.1.2600 Service Pack 2 NTFS
escaneando procesos ocultos ...
escaneando entradas ocultas de autostart ...
escaneando archivos ocultos ...
el escaneo se completo con exito
archivos ocultos: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\ARCHIV~1\MICROS~4\rapimgr.exe
C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\fxssvc.exe
.
**************************************************************************
.
Tiempo completado: 2008-08-05 14:05:27 - machine was rebooted [JOSEMARI]
ComboFix-quarantined-files.txt 2008-08-05 12:05:06
Pre-Run: 1,727,795,200 bytes libres
Post-Run: 1,638,731,776 bytes libres
264 --- E O F --- 2008-08-04 20:18:26
---------------------------------------------------------------------------------------
2.- Add-Remove Programs.txt
--> C:\UNWISE.EXE C:\INSTALL.LOG
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742) --> MsiExec.exe /X{6846389C-BAC0-4374-808E-B120F86AF5D7}
Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Photoshop 7.0 --> C:\WINDOWS\ISUN040A.EXE -f"C:\Archivos de programa\Adobe\Photoshop 7.0\Uninst.isu" -c"C:\Archivos de programa\Adobe\Photoshop 7.0\Uninst.dll"
Adobe Reader 8.1.2 - Español --> MsiExec.exe /I{AC76BA86-7AD7-1034-7B44-A81200000003}
Adobe Reader 8.1.2 Security Update 1 (KB403742) -->
Adobe Shockwave Player --> C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Analizador y SDK de Microsoft XML --> MsiExec.exe /I{3E908702-AF35-4611-9518-955DA24B7E07}
AnvSoft Video to 3GP Converter 1.10 --> "C:\Archivos de programa\AnvSoft\Video to 3GP Converter\unins000.exe"
Any Video Converter 2.6.2 --> "C:\Archivos de programa\Any Video Converter\unins000.exe"
Asistente para la publicación en Web 1.53 de Microsoft --> RunDll32 ADVPACK.DLL,LaunchINFSection C:\WINDOWS\INF\wpie3x86.inf,WebPostUninstall
Avance AC'97 Audio --> RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" REMOVE
BenQ QVideo --> "C:\Archivos de programa\InstallShield Installation Information\{0B168FED-B9EC-4DA8-AC17-9A41F284640B}\setup.exe" REMOVEALL
CamStudio --> C:\Archivos de programa\CamStudio\uninstall.exe
CCleaner (remove only) --> "C:\Archivos de programa\CCleaner\uninst.exe"
Compresor WinRAR --> C:\Archivos de programa\WinRAR\uninstall.exe
Controlador de Logitech® Camera --> "C:\Archivos de programa\Archivos comunes\Logitech\QCDRV\BIN\SETUP.EXE" UNINSTALL REMOVEPROMPT
Cool Edit 2000 --> C:\Archivos de programa\Cool2000\ce2Kunin.exe
Counter Strike 1.6 - By PirocaHP.F!N4LShare --> C:\WINDOWS\unvise32.exe C:\CS1.6 pod-Bot\uninstal_cs.log
Counter Strike 1.6 - Pack 112 Mapas - By PirocaHP F!N4LShare --> C:\WINDOWS\unvise32.exe C:\CS1.6 pod-Bot\uninstal_map.log
CuteFTP 6 Professional --> C:\ARCHIV~1\ARCHIV~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{AB18B0BA-A08F-48B8-8D0E-AA9DDDCA22EA}
Enable S3 for USB Device --> C:\WINDOWS\IsUninst.exe -f"C:\Archivos de programa\Gigabyte\Enable S3 for USB Device\Uninst.isu"
Express Rip --> C:\Archivos de programa\NCH Swift Sound\ExpressRip\uninst.exe
FLV Player 1.3.3 --> "C:\Archivos de programa\FLVPlayer\uninstall.exe"
FPAdjust --> C:\WINDOWS\IsUninst.exe -f"C:\Archivos de programa\Flat Panel Adjust\Uninst.isu"
Free 3GP Video Converter version 2.4 --> "C:\Archivos de programa\DVDVideoSoft\Free 3GP Video Converter\unins000.exe"
Free PDF to Word Doc Converter v1.1 --> "C:\Archivos de programa\Free PDF to Word Doc Converter\unins000.exe"
Free Video to Mp3 Converter version 3.1 --> "C:\Archivos de programa\DVDVideoSoft\Free Video to Mp3 Converter\unins000.exe"
Google Earth --> MsiExec.exe /I{1E04F83B-2AB9-4301-9EF7-E86307F79C72}
Google Updater --> "C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe" -uninstall
HijackThis 1.99.1 --> C:\Documents and Settings\JOSEMARI\Escritorio\Nuevos Programas Bajados\HijackThis\HijackThis.exe /uninstall
HP Deskjet 3900 series --> C:\Archivos de programa\HP\Digital Imaging\{3819891A-030B-4a4e-98ED-B28A649E48AB}\setup\hpzscr01.exe -datfile hpfscr05.dat
HP Imaging Device Functions 5.0 --> C:\Archivos de programa\HP\Digital Imaging\DigitalImagingMonitor\hpzscr01.exe -datfile hpqbud01.dat
HP Software Update --> MsiExec.exe /X{15EE79F4-4ED1-4267-9B0F-351009325D7D}
HP Solution Center & Imaging Support Tools 5.0 --> C:\Archivos de programa\HP\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat
Java(TM) 6 Update 7 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Kaspersky Anti-Virus Personal --> "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\uninstall.exe"
Kaspersky Online Scanner --> C:\WINDOWS\system32\KASPER~1\KASPER~1\kavuninstall.exe
Malwarebytes' Anti-Malware --> "C:\Archivos de programa\Malwarebytes' Anti-Malware\unins002.exe"
Messenger Plus! Live --> "C:\Archivos de programa\Messenger Plus! Live\Uninstall.exe"
Microsoft ActiveSync 4.0 --> MsiExec.exe /I{B208806F-A231-4FA0-AB3F-5C1B8979223E}
Microsoft Data Access Components KB870669 --> C:\WINDOWS\muninst.exe C:\WINDOWS\INF\KB870669.inf
Microsoft Office 2000 Premium --> MsiExec.exe /I{00000C0A-78E1-11D2-B60F-006097C998E7}
Microsoft Office Professional Edition 2003 --> MsiExec.exe /I{90110C0A-6000-11D3-8CFE-0150048383C9}
Mozilla Firefox (2.0.0.11) --> C:\Archivos de programa\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB927978) --> MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB936181) --> MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
Nero Suite --> C:\Archivos de programa\Archivos comunes\Ahead\Uninstall\setup.exe /uninstall
NVIDIA Drivers --> C:\WINDOWS\system32\nvudisp.exe UninstallGUI
OpenOffice.org 2.1 --> MsiExec.exe /I{9331086D-3C8C-4AC7-9557-CAA4C97B2519}
Pdf995 --> C:\Archivos de programa\pdf995\setup.exe uninstall
QuickTime --> MsiExec.exe /I{50D8FFDD-90CD-4859-841F-AA1961C7767A}
RealPlayer --> C:\Archivos de programa\Archivos comunes\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Rhapsody Player Engine --> MsiExec.exe /I{2DFF31F9-7893-4922-AF66-C9A1EB4EBB31}
RTLSetup --> RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{97AA0C55-AFAD-4126-B21C-F1318FB6DADA}\setup.exe" -l0x9 REMOVE
Sibelius Scorch (ActiveX Only) --> MsiExec.exe /I{C8E4455F-0F70-4DA2-A9F9-2D56C80E10AD}
SmartSound Quicktracks Plugin --> C:\ARCHIV~1\ARCHIV~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E}
Software Logitech QuickCam --> RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{C43048A9-742C-4DAD-90D2-E3B53C9DB825}\setup.exe" -l0xa
Sun Java Runtime Environment and JMF --> RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{FFA98080-B0C6-11D5-91CB-005004F84FA1}\Setup.exe" -l0xa
Ulead VideoStudio 10 --> RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{E188D820-1218-4E28-8BCA-91134C3664C2}\Setup.exe" -l0x9
Uninstall 1.0.0.1 --> "C:\Archivos de programa\Archivos comunes\DVDVideoSoft\unins000.exe"
WavePad Uninstall --> C:\Archivos de programa\NCH Swift Sound\WavePad\uninst.exe
Windows Genuine Advantage Validation Tool (KB892130) -->
Windows Live Messenger --> MsiExec.exe /I{1692CC0E-8798-493A-9580-23555E21C14B}
Windows Live OneCare safety scanner --> RunDll32.exe "C:\Archivos de programa\Windows Live Safety Center\wlscCore.dll",UninstallFunction WLSC_SCANNER_PRODUCT
Xanadu --> C:\WINDOWS\unvise32.exe C:\Archivos de programa\Foreignword\Xanadu\uninstal.log
XviD MPEG-4 Codec --> "C:\Archivos de programa\XviD\UninstXviD.exe"
---------------------------------------------------------------------------------
3.- ComboFix-quarantined-files.txt
1998-09-04 07:09 119400 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\MDM.EXE.vir
2001-08-24 12:00 10428 --a------ C:\Qoobox\Quarantine\C\WINDOWS\Help\verifier.hlp.vir
2001-08-24 12:00 17610 --a------ C:\Qoobox\Quarantine\C\WINDOWS\Help\access.hlp.vir
2001-08-24 12:00 186880 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\Nobicyt.exe.vir
2001-08-24 12:00 6 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\comsa32.sys.vir
2007-04-02 16:28 185 --a------ C:\Qoobox\Quarantine\C\WINDOWS\Downloaded Program Files\SETUP.INF.vir
2008-07-25 16:48 118784 --a------ C:\Qoobox\Quarantine\C\WINDOWS\Help\chscxdyv.fy.vir
2008-07-25 16:48 133632 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\lrj47.sys.vir
2008-07-25 16:48 21504 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\mdfg.odl.vir
2008-07-25 16:48 233 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\atmapi.sys.vir
2008-07-25 16:48 64000 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\sfmrr.r.vir
2008-07-30 14:13 1234 --a------ C:\Qoobox\Quarantine\Registry_backups\Legacy_lrj47.reg.dat
2008-07-30 14:13 1996 --a------ C:\Qoobox\Quarantine\Registry_backups\Service_perfmons.reg.dat
2008-07-30 14:13 2054 --a------ C:\Qoobox\Quarantine\Registry_backups\Service_Routing.reg.dat
2008-07-30 14:13 2064 --a------ C:\Qoobox\Quarantine\Registry_backups\Service_AFinding.reg.dat
2008-07-30 14:13 2064 --a------ C:\Qoobox\Quarantine\Registry_backups\Service_WServing.reg.dat
2008-07-30 22:44 22 --a------ C:\Qoobox\Quarantine\catchme2008-07-30_141414,09.zip
2008-08-05 12:45 202 --a------ C:\Qoobox\Quarantine\Registry_backups\Service_lrj47.reg.dat
2008-08-05 13:49 162 --a------ C:\Qoobox\Quarantine\catchme.log
2008-08-05 13:49 798 --a------ C:\Qoobox\Quarantine\Registry_backups\Legacy_ROUTING.reg.dat
2008-08-05 13:49 806 --a------ C:\Qoobox\Quarantine\Registry_backups\Legacy_AFINDING.reg.dat
2008-08-05 13:49 806 --a------ C:\Qoobox\Quarantine\Registry_backups\Legacy_PERFMONS.reg.dat
2008-08-05 13:49 806 --a------ C:\Qoobox\Quarantine\Registry_backups\Legacy_WSERVING.reg.dat
2008-08-05 14:04 0 --a------ C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-CFSServ.exe.reg.dat
2008-08-05 14:04 0 --a------ C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-NDSTray.exe.reg.dat
2008-08-05 14:04 0 --a------ C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-TFncKy.reg.dat
----------------------------------------------------------------------------------------
4.- mbam-log-8-5-2008 (13-35-19).txt ( malwarebit log )
Malwarebytes' Anti-Malware 1.23
Versión de la Base de Datos: 992
Windows 5.1.2600 Service Pack 2
13:35:19 2008-08-05
mbam-log-8-5-2008 (13-35-19).txt
Tipo de examen : Examen Rápido
Objetos examinados: 37803
Tiempo transcurrido: 12 minute(s), 37 second(s)
Procesos en Memoria Infectados: 4
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 8
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 5
Procesos en Memoria Infectados:
C:\WINDOWS\system32\AFinding.exe (Trojan.Agent) -> Unloaded process successfully.
C:\WINDOWS\system32\WServing.exe (Trojan.Agent) -> Unloaded process successfully.
C:\WINDOWS\system32\routing.exe (Trojan.Agent) -> Unloaded process successfully.
C:\WINDOWS\system32\perfs.exe (Trojan.Downloader) -> Failed to unload process.
Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)
Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFinding (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Routing (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WServing (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\afinding (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wserving (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\routing (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\perfmons (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\perfmons (Trojan.Downloader) -> Quarantined and deleted successfully.
Valores del Registro Infectados:
(No se han detectado elementos maliciosos)
Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)
Carpetas Infectadas:
(No se han detectado elementos maliciosos)
Ficheros Infectados:
C:\WINDOWS\system32\comsa32.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\AFinding.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\WServing.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\routing.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\perfs.exe (Trojan.Downloader) -> Delete on reboot.
NOTE from Josemari: After reboot i didn't find perfs.exe, so i suppose it was deteled on reboot