You are on page 1of 10

ComboFix 12-01-16.02 - PROBOOK 16/01/2012 11:04:47.1.

4 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.34.3082.18.2991.2509 [GMT -5:
00]
Running from: c:\documents and settings\PROBOOK\Escritorio\ComboFix.exe
AV: ESET NOD32 Antivirus 4.0 *Enabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F
34C0}
* Resident AV is active
.
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))
)))))))))))))))))))))))))))))
.
.
c:\archivos de programa\facemoods.com
c:\archivos de programa\facemoods.com\facemoods\1.4.17.11\bh\facemoods.dll
c:\archivos de programa\facemoods.com\facemoods\1.4.17.11\facemoods.crx
c:\archivos de programa\facemoods.com\facemoods\1.4.17.11\facemoods.png
c:\archivos de programa\facemoods.com\facemoods\1.4.17.11\facemoodsApp.dll
c:\archivos de programa\facemoods.com\facemoods\1.4.17.11\facemoodsEng.dll
c:\archivos de programa\facemoods.com\facemoods\1.4.17.11\facemoodssrv.exe
c:\archivos de programa\facemoods.com\facemoods\1.4.17.11\facemoodsTlbr.dll
c:\archivos de programa\facemoods.com\facemoods\1.4.17.11\uninstall.exe
c:\archivos de programa\facemoods.com\sqlite3.dll
c:\archivos de programa\LP
c:\archivos de programa\LP\0EA2\16.tmp
c:\archivos de programa\LP\0EA2\27.tmp
c:\archivos de programa\LP\0EA2\B.tmp
c:\archivos de programa\LP\1EB2\15.tmp
c:\archivos de programa\LP\1EB2\AD.tmp
c:\archivos de programa\LP\1EB2\BE.tmp
c:\archivos de programa\LP\2EC2\21.tmp
c:\archivos de programa\LP\2EC2\31.tmp
c:\archivos de programa\LP\2EC2\48.tmp
c:\archivos de programa\LP\2EC2\F.tmp
c:\archivos de programa\LP\3E82\F.tmp
c:\archivos de programa\LP\3EA2\2A.tmp
c:\archivos de programa\LP\3EA2\41.tmp
c:\archivos de programa\LP\3EA2\5A.exe
c:\archivos de programa\LP\3EA2\5A.tmp
c:\archivos de programa\LP\6EA2\15.tmp
c:\archivos de programa\LP\7EB2\D1.tmp
c:\archivos de programa\LP\8EB2\15.tmp
c:\archivos de programa\LP\8EB2\32.tmp
c:\archivos de programa\LP\BE82\B8.tmp
c:\archivos de programa\LP\BEA2\15.tmp
c:\archivos de programa\LP\CEA2\27.tmp
c:\archivos de programa\LP\CFF6\54.tmp
c:\archivos de programa\LP\CFF6\72.tmp
c:\archivos de programa\LP\CFF6\E8.exe
c:\archivos de programa\LP\CFF6\E8.tmp
c:\archivos de programa\LP\FE82\41.tmp
c:\archivos de programa\LP\FE82\42.tmp
c:\archivos de programa\LP\FE82\F.tmp
c:\archivos de programa\LP\FEB2\14.tmp
c:\archivos de programa\QuestBasic
c:\archivos de programa\QuestBasic\questbasic.exe
c:\archivos de programa\QuestBasic\uninstall.exe
c:\documents and settings\All Users\Datos de programa\8D8D89AD-357C-A847-A9FC-23
48A7438695.ico

exe c:\documents and settings\PROBOOK\2daw.exe c:\windows\dasetup.tmp c:\documents and settings\PROBOOK\plol.exe c:\documents and settings\PROBOOK\4aol.exe c:\documents and settings\PROBOOK\2aol.e xe c:\documents and settings\All Users\Datos de programa\TEMP c:\documents and settings\All Users\Datos de programa\TEMP\{01FB4998-33C4-4431-8 5ED-079E3EEFE75D}\PostBuild.c:\documents and settings\All Users\Datos de programa\QuestBasic c:\documents and settings\All Users\Datos de programa\QuestBasic\questbasic115.sys c:\windows\system32\DXEC02.dll c:\windows\system32\spool\prtprocs\w32x86\zpp. ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))) .log c:\windows\system32\ c:\windows\system32\c_49091.com c:\documents and settings\PROBOOK\Datos de programa\desktop.tlb c:\windows\$NtUninstallKB12178$\1572965804\U\@00000001 c:\windows\$NtUninstallKB12178$\1572965804\U\@000000c0 c:\windows\$NtUninstallKB12178$\1572965804\U\@000000cb c:\windows\$NtUninstallKB12178$\1572965804\U\@000000cf c:\windows\$NtUninstallKB12178$\1572965804\U\@80000000 c:\windows\$NtUninstallKB12178$\1572965804\U\@800000c0 c:\windows\$NtUninstallKB12178$\1572965804\U\@800000cb c:\windows\$NtUninstallKB12178$\1572965804\U\@800000cf c:\windows\$NtUninstallKB12178$\1711321124 c:\windows\box.dll c:\windows\system32\UNWISE.com c:\documents and settings\PROBOOK\roalm.exe c:\documents and settings\PROBOOK\4pok.dll c:\windows\system32\Packet.exe c:\documents and settings\PROBOOK\Configuración local\Datos de programa\5dc18dac\U \80000000.@ c:\documents and settings\PROBOOK\Configuración local\Datos de programa\5dc18dac\U \800000cf.dat c:\documents and settings\PROBOOK\Datos de programa\Toolbar4 c:\documents and settings\PROBOOK\fuisiw.sys c:\windows\system32\drivers\npf.com c:\documents and settings\PROBOOK\Datos de programa\ntuser.tmp . Infected copy of c:\windows\system32\drivers\afd.nls c:\windows\system32\drivers\multikey.com C:\prefs.@ c:\documents and settings\PROBOOK\cuemoy.EXE c:\windows\system32\wpcap.dll c:\windows\system32\SET82.com c:\documents and settings\PROBOOK\riks.exe c:\documents and settings\PROBOOK\2pok.ini c:\documents and settings\PROBOOK\Datos de programa\facemoods.com c:\documents and settings\PROBOOK\hoejeg.com c:\documents and settings\PROBOOK\zeanez.dll c:\windows\system32\wuauclt.sys was found and disinfected Restored copy from .com c:\documents and settings\PROBOOK\Mis documentos\~WRL0289.The cat found it :) .js c:\windows\$NtUninstallKB12178$ c:\windows\$NtUninstallKB12178$\1572965804\@ c:\windows\$NtUninstallKB12178$\1572965804\L\cjziwkej c:\windows\$NtUninstallKB12178$\1572965804\loader.tmp c:\windows\system32\spool\prtprocs\w32x86\pcldll6l.exe.

. 2012-01-13 04:04 -------d-----wc:\archi vos de programa\Windows Sidebar 2012-01-13 04:04 . 2011-08-17 13:49 138496 -c--a-wc:\windows\syste m32\dllcache\afd. ((((((((((((((((((((((((( Files Created from 2011-12-16 to 2012-01-16 ))))))) )))))))))))))))))))))))) . 2012-01-16 14:43 -------d-----wc:\docum ents and settings\Administrador 2012-01-13 14:44 . . 2011-08-17 13:49 138496 ----a-wc:\windows\syste m32\drivers\afd.)))))))))))))))))))))))))))))) . 2012-01-16 14:47 -------d-----wc:\docum ents and settings\All Users\Datos de programa\Norton 2012-01-13 03:55 . 2012-01-12 21:09 -------d-----wc:\docum ents and settings\PROBOOK\Datos de programa\Malwarebytes 2012-01-12 21:09 . 2012-01-16 15:34 -------d-----wc:\docum ents and settings\All Users\Datos de programa\ESET 2012-01-16 15:34 .exe 2012-01-12 22:54 . 2012-01-13 14:44 -------d-sh--wc:\docum ents and settings\NetworkService\IETldCache 2012-01-13 04:05 .sys 2012-01-16 15:34 . . 2011-11-15 19:29 222080 ------wc:\windows\syste m32\MpSigStub. 2012-01-12 22:47 -------d-----wc:\docum ents and settings\PROBOOK\Datos de programa\xqhlidtlg2peomdzpc3qaskt2ckldqlb2 2012-01-12 19:37 . 2012-01-16 15:18 -------d-----wc:\archi vos de programa\Archivos comunes\Symantec Shared 2012-01-13 04:04 . 2012-01-16 15:43 0 --sha-wc:\windows\syste m32\dds_log_trash. 2012-01-12 21:51 -------d-----wc:\archi vos de programa\2C645 2012-01-11 14:25 . 2012-01-13 04:27 -------d-----wc:\docum ents and settings\PROBOOK\Datos de programa\Security Defender 2012-01-12 21:09 . 2012-01-16 16:04 . 2012-01-12 22:47 -------d-----wc:\docum ents and settings\PROBOOK\Datos de programa\xivkacb1owedzqxp3ckaumbbikyaafpe2 2012-01-11 14:30 . 2012-01-16 16:04 -------d-----wc:\docum ents and settings\PROBOOK\Configuración local\Datos de programa\ESET 2012-01-16 16:02 .cmd 2012-01-12 22:51 . 2012-01-12 22:50 -------d-----wc:\docum ents and settings\PROBOOK\Configuración local\Datos de programa\App 2012-01-11 14:25 . 2012-01-16 15:25 -------d-sh--wc:\docum ents and settings\PROBOOK\IECompatCache 2012-01-16 14:41 . -------\Legacy_NPF -------\Service_NPF -------\Legacy_filterservice -------\Legacy_QuestBasic_Service -------\Legacy_QuestBasic_Service -------\Service_filterservice -------\Service_multikey -------\Service_QuestBasic Service -------\Service_QuestBasic Service . 2012-01-16 15:34 -------d-----wc:\archi vos de programa\ESET 2012-01-16 15:25 . 2012-01-12 22:47 -------d-----wc:\archi vos de programa\BC246 . 2012-01-12 21:09 -------d-----wc:\docum ents and settings\All Users\Datos de programa\Malwarebytes 2012-01-12 19:57 .sys 2012-01-16 16:02 .

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\archivos de programa\Arch ivos comunes\Ahead\Lib\NMBgMonitor.EXE" [2008-06-06 351000] "Facebook Update"="c:\documents and settings\PROBOOK\Configuración local\Datos de . 2008-04-14 05:48 1298432 ----a-wc:\windows\syste m32\quartz.dll 2011-11-01 16:07 . 2008-04-14 05:48 916992 ----a-wc:\windows\syste m32\wininet.dll 2011-11-04 19:13 . 2011-06-16 17:27 506472 ----a-wc:\windows\syste m32\uArcCapture. 2008-04-14 05:48 387072 ----a-wc:\windows\syste m32\qdvd. .dll 2011-11-23 14:40 .2012-01-11 14:25 .exe 2011-10-26 10:49 . 2008-04-14 05:27 2151424 ----a-wc:\windows\syste m32\ntoskrnl.dll 2011-10-28 05:31 .exe .cpl 2011-11-04 19:13 . 2008-04-14 05:48 33280 ----a-wc:\windows\syste m32\csrsrv.sys 2011-11-20 06:12 . 2012-01-12 22:47 -------d-----wc:\docum ents and settings\PROBOOK\Datos de programa\681BC 2011-12-17 20:38 .exe 2011-11-25 21:57 . 2012-01-14 00:28 -------d-----wc:\docum ents and settings\PROBOOK\Datos de programa\2472C 2012-01-11 14:24 . 2008-04-14 05:48 43520 ------wc:\windows\syste m32\licmgr10. ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))) ))))))))))))))))))))))))))))))) . 2012-01-11 14:24 -------d-sh--wc:\docum ents and settings\PROBOOK\Configuración local\Datos de programa\5dc18dac 2012-01-11 14:24 . .exe" [2007-05-16 153136] "Skype"="c:\archivos de programa\Skype\Phone\Skype. 2008-04-14 05:22 1859712 ----a-wc:\windows\syste m32\win32k. *Note* empty entries & legit default entries are not shown REGEDIT4 .dll 2011-11-04 11:24 .dll 2011-10-26 10:49 . 2011-12-17 20:38 -------d-sh--wc:\docum ents and settings\PROBOOK\PrivacIE .iec 2011-11-03 15:28 . 2008-04-14 05:48 1288192 ----a-wc:\windows\syste m32\ole32.dll 2011-11-03 15:28 . 2008-04-14 05:48 293888 ----a-wc:\windows\syste m32\winsrv.exe 2011-11-04 19:13 .exe" [2011-10-13 17351304] "L09EXLRD_924093"="c:\archivos de programa\Microsoft Student\Microsoft Student c on Encarta Premium 2009 DVD\EDICT.exe 2012-01-13 04:12 . 2008-04-14 05:49 61440 ----a-wc:\windows\syste m32\packager. 2008-04-14 07:27 2029568 ----a-wc:\windows\syste m32\ntkrnlpa. . . (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))) ))))))))))))))))))))))))))))))) . 2008-04-14 05:49 1469440 ------wc:\windows\syste m32\inetcpl. 2010-02-18 19:26 1664304 ----a-wc:\windows\syste m32\vcsFPService. 2012-01-13 04:12 . 2008-04-14 05:22 385024 ------wc:\windows\syste m32\html.

lnk backup=c:\windows\pss\WinZip Quick Pick.exe"="c:\archivos de programa\Mindjet\MindManager 10\MmDesignPa rtner.s ys] @="Driver" .E XE] 2008-04-14 05:48 15360 ----a-wc:\windows\system32\ctfmon.lnkCommon Startup . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "egui"="c:\archivos de programa\ESET\ESET NOD32 Antivirus\egui.0] 2007-05-11 03:46 624248 ----a-wc:\archivos de programa\Adobe\Ac robat 8.0\Acrobat\acrotray.lnk] path=c:\documents and settings\All Users\Menú Inicio\Programas\Inicio\Service Mana ger. [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AESTFltr ] 2009-04-22 02:01 737280 ----a-wc:\windows\system32\AESTFltr.dll .exe . [HKEY_USERS\.exe .exe" [2011-11-19 137536] "MmDesignPartner.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON. [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^In icio^Service Manager. [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe_ID 0EYTHM] .lnk backup=c:\windows\pss\Service Manager. [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hp 1000 firmware] . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8. [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^In icio^WinZip Quick Pick.exe .exe" [2011-09-14 12640] "ctfmon.exe" [2008-04-14 15360] . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.exe .exe"="c:\windows\system32\ctfmon. [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\File San itizer] 2009-12-11 22:57 11265536 ----a-wc:\archivos de programa\ Hewlett-Packard\File Sanitizer\coreshredder.lnkCommon Startup .exe .exe" [2009-05-14 2029640] .EXE"="c:\windows\system32\CTFMON.programa\Facebook\Update\FacebookUpdate. [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON. [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BTMTrayA gent] 2010-12-01 00:31 20899408 ----a-wc:\archivos de programa\ Motorola\Bluetooth\btmshell.EXE" [2008-04-14 15360] .lnk] path=c:\documents and settings\All Users\Menú Inicio\Programas\Inicio\WinZip Quick Pick. [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysC mds] 2009-12-23 17:50 173592 ----a-wc:\windows\system32\hkcmd.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\Authoriz edApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe .6. [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMRemind erService] 2011-09-14 17:54 37728 ----a-wc:\archivos de programa\Mindjet\ MindManager 10\MmReminderService.2001-08-02 17:00 36864 ----a-wc:\archivos de programa\hp Laser Jet 1000\fwdl.EXE"= . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSSche duler] 2005-08-11 21:30 81920 ----a-wc:\archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe .exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilt erCheck] 2007-03-01 20:57 153136 ----a-wc:\archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe"= "c:\\Archivos de programa\\Archivos comunes\\Adobe\\Adobe Version Cue CS3\\Serve r\\bin\\VersionCueCS3.exe .exe"= "c:\\Archivos de programa\\Microsoft Office\\Office14\\GROOVE.EXE"= "c:\\Archivos de programa\\Microsoft Office\\Office14\\ONENOTE.exe .exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh ] 2010-06-04 03:17 1791272 ----a-wc:\archivos de programa\Synaptic s\SynTP\SynTPEnh.exe"= "%windir%\\system32\\sessmgr. [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persiste nce] 2009-12-23 17:51 144920 ----a-wc:\windows\system32\igfxpers.exe .0_04\bin\jusched. [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellEx e] 2011-10-09 01:46 273528 ----a-wc:\archivos de programa\Real\Rea lPlayer\Update\realsched.EXE"= "c:\\Archivos de programa\\Microsoft Office\\Office14\\OUTLOOK. [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray ] 2009-12-23 17:51 141848 ----a-wc:\windows\system32\igfxtray. [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM S tartup] 2005-08-11 21:30 249856 ----a-wc:\archivos de programa\Archivos comunes\InstallShield\UpdateService\ISUSPM.exe .exe .exe .exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualC loneDrive] 2005-04-12 15:27 45056 ----a-wc:\archivos de programa\Elaborat e Bytes\VirtualCloneDrive\VCDDaemon. [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaU pdateSched] 2007-12-14 08:42 144784 ----a-wc:\archivos de programa\Java\jre 1.

wntpport.sys [14/05/2009 15:49 94360] R2 Bluetooth OBEX Service.sys [16/06/2011 0:20 125696] R3 IntcDAud.exe"= "c:\\Archivos de programa\\Skype\\Phone\\Skype.ARCVCAM.exe"= "c:\\Documents and Settings\\PROBOOK\\Datos de programa\\2472C\\C78BE.c:\windows\system32\drivers\Impcd.c:\windows\system32\uArcCapture.c:\windows\system32\vcsFPServic e.File Sanitizer for HP ProtectTools.11n Wireless Driver.exe"= "c:\\Archivos de programa\\Windows Live\\Messenger\\wlcsdk. [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\Globally OpenPorts\List] "3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server "3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server "50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server "50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server "1947:TCP"= 1947:TCP:HASP SRM "1947:UDP"= 1947:UDP:HASP SRM .c:\windows\system32\drivers\WNTPPORT.ehdrv.c:\windows\system32\drivers\IntcDAud.exe [14/05/2009 15:47 731840] R2 HPFSService.c:\archivos de programa\Motorol a\Bluetooth\obexsrv.c:\archivos de programa\Hewlet t-Packard\File Sanitizer\HPFSService.exe"= "c:\\Archivos de programa\\Messenger\\msmsgs.c:\windows\system32\drivers\rt2860.exe"= "c:\\Documents and Settings\\PROBOOK\\Configuración local\\Datos de programa\\Face book\\Video\\Skype\\FacebookVideoCalling.Bluetooth Device Manager.Intel(R) Management & Security Application User Notification Service.Ralink 802.Motorola Bluetooth Radio Service.ESET Service.exe"= "c:\\Archivos de programa\\2C645\\lvvm.exe [16/ 06/2011 0:04 2320920] R2 vcsFPService.c:\windows\system32\drivers\ehdrv.c:\a rchivos de programa\Intel\Intel(R) Management Engine Components\UNS\UNS.sy s [16/06/2011 0:28 402432] R3 Impcd. ArcSoft Webcam Sharing Manager Driver.exe"= "c:\\WINDOWS\\system32\\wscript.exe"= "c:\\Archivos de programa\\Windows Live\\Sync\\WindowsLiveSync.c:\windows\system32\dr ivers\ArcSoftVCapture.epfwtdir.Impcd.Validity VCS Fingerprint Service.exe"= "c:\\Documents and Settings\\PROBOOK\\Configuración local\\Datos de programa\\Face book\\Update\\FacebookUpdate.c:\windows\system32\drivers\epfwtdir.exe"= "c:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr. sys [16/06/2011 0:19 205824] R3 RT80x86.c:\windows\system32\drivers\btmusb.sys .exe"= "c:\\Documents and Settings\\PROBOOK\\Datos de programa\\2472C\\2530E.exe [16/06/2011 12:27 506472] R2 UNS.sys [14/05/2009 15:47 107256] R1 epfwtdir.c:\windows\system32\drivers\AESTAud.exe"= "c:\\Archivos de programa\\DsNET Corp\\aTube Catcher 2.SYS [16/06/2011 19:26 28416] R3 AESTAud.exe"= "c:\\Archivos de programa\\Google\\Update\\GoogleUpdate.ArcCapture.sys [16/06/2011 12:27 27648] R3 Bluetooth Device Manager.exe [16/06/2011 0:28 508680] R2 ekrn.sys [16/06/2011 0:24 113664] R3 ARCVCAM.exe [16/06/2011 0:28 3511888] R3 BTMUSB.exe"= "c:\\Archivos de programa\\Real\\RealPlayer\\realplay.AE Audio Service. R1 ehdrv.Sonido Intel(R) para pantallas.c:\archivos de programa\ESET\ESET NOD32 Antivirus\ekrn."c:\\Archivos de programa\\Bonjour\\mDNSResponder.Bluetooth OBEX Service.exe [18/02/2010 14:26 1664304] R2 wntpport.exe"= "c:\\Archivos de programa\\Real\\RealUpgrade\\realupgrade.0\\yct.exe"= .exe"= "c:\\Archivos de programa\\NetMeeting\\conf.exe"= "c:\\Archivos de programa\\Google\\Chrome\\Application\\chrome.c:\archivos de programa\Mot orola\Bluetooth\devmgrsrv.exe [11/12/2009 17:57 300032] R2 uArcCapture.

2012-01-16 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-682003330-2000478354-18 01674531-1003.168.google.Sydex Floppy Driver. 2012-01-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.vbs .ProxyOverride = *.c:\archivos de programa\Google\Upd ate\GoogleUpdate.Office Software Protection Platform.c:\archivos de programa\Apple Software Update\SoftwareUpdate.c:\archivos de programa\Motor ola\Bluetooth\audiosrv.c:\windows\system32\drivers\sydexfdd.google.c:\archivos de programa\Microsoft Office\Office14\GROOVE.exe [02/10/2011 13:30 136176] S3 Bluetooth Media Service.local uInternet Settings.1 .c:\archivos de programa\Google\Update\GoogleUpdate.sys [16/06/2011 0:13 181792] S3 SydexFDD.Sys Realtek USB Card Reader.Bluetooth Media Service.c:\archivos de programa\G oogle\Update\GoogleUpdate. Contents of the 'Scheduled Tasks' folder .(Default) = hxxp://www.exe [16/06/2011 0:28 901384] S3 BTMCOM.htm TCP: DhcpNameServer = 192.exe [2011-09-27 18:40] .c:\archivos de programa\Archivos comunes\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.job . 2012-01-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore. .Servicio de actualización de Google (gupdate). HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost .exe [2008-07-30 1 7:34] . 2012-01-14 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-682003330-200047835 4-1801674531-1003. [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{90EF4A 5E-85DB-4825-96F5-1AB93C2A8EEB}] 2011-09-14 17:52 1409 ----a-rc:\archivos de programa\Mindjet\ MindManager 10\sys\MmInternetExplorerActiveSetup.sys [16/06/ 2011 19:26 13359] .ShellNext = iexplore uInternet Settings.job . uInternet Connection Wizard.exe [02/10/2011 13:30 136176] S3 Microsoft SharePoint Workspace Audit Service.c:\archivos de programa\Real\RealUpgrade\realupgrade.c:\windows\system32\drivers\Rt sUStor.job . 2011-10-28 c:\windows\Tasks\AppleSoftwareUpdate.1.EXE [09/01/201 0 21:37 4640000] S3 RSUSBSTOR.Google Update Servicio (gupdatem).Supplementary Scan ------.EXE [25/03 /2010 10:25 30969208] S3 osppsvc.job .com/search?q=%s IE: {{bd707fe6-39f6-4bda-9265-86a76719bdc5} .exe [2011-09-27 18:40] .[16/06/2011 0:52 1334240] S2 gupdate.exe [2011-10-02 04:12] .1:60848 uSearchAssistant = hxxp://www.c:\archivos de programa\Real\RealUpgrade\realupgrade. ------.exe [2011-10-02 04:12] .RtsUStor.Microsoft SharePoint Workspace A udit Service.Bluetooth Serial Port.ProxyServer = http=127.NetSv cs filterservice .c:\archivos de programa\Motorola\B luetooth\btmiesend.job .c:\windows\system32\drivers\btmcom.com/ie uSearchURL.sys [16/06/20 11 0:29 41344] S3 gupdatem.c:\archivos de programa\Google\Update\GoogleUpdate.0.0.

. .exe'(500) c:\windows\system32\WININET.17..c:\archivos de programa\facemoods..0" "UniqueId"="0004A69C4F144385" "ScannerBuild"=dword:0000133a "ScannerVersionId"=dword:00000ff3 "ScannerVersion"="Locked/open ESET for status.com\facemoods\1.c:\archivos de programa\Uniblue\DriverScanner\la uncher. Toolbar-Locked .11\facemoodssrv. .(no file) MSConfigStartUp-DriverScanner . ************************************************************************** . --------------------.. scanning hidden files .2600 Service Pack 3 NTFS . scanning hidden autostart entries .DLLs Loaded Under Running Processes --------------------. scanning hidden processes .> 'explorer..exe .com\facemoods\1.gmer..exe AddRemove-facemoods .dll .1398 W2K/XP/Vista .. .. 17...4. .net Rootkit scan 2012-01-16 11:13 Windows 5.. .4. scan completed successfully hidden files: 0 ...c:\archivos de programa\QuestBasic\uninstall.3. [HKEY_LOCAL_MACHINE\software\Eset\ESET Security\CurrentVersion\Info] @Denied: (2) (LocalSystem) "AppDataDir"="c:\\Documents and Settings\\All Users\\Datos de programa\\ESET\\ES ET NOD32 Antivirus\\" "DataDir"="ESET\\ESET NOD32 Antivirus\\" "EditionName"=" " "InstallDir"="c:\\Archivos de programa\\ESET\\ESET NOD32 Antivirus\\" "LanguageId"=dword:00000c0a "PackageTag"=dword:6090e758 "ProductBase"=dword:00000000 "ProductCode"="{77A56CE9-5D77-4F48-B099-6A8B0B484E74}" "ProductName"="ESET NOD32 Antivirus" "ProductType"="eav" "ProductVersion"="4.11\ uninstall.c:\archivos de programa\facemoods.1..EXE AddRemove-LSI Soft Modem ...ORPHANS REMOVED .rootkit/stealth malware detector by Gmer. catchme 0.exe MSConfigStartUp-facemoods ..0..exe AddRemove-HASP Device Drivers .437... . ************************************************************************** .LOCKED REGISTRY KEYS --------------------.c:\windows\system32\UNWISE." "FixId"=dword:00000009 . http:/ /www. --------------------.c:\windows\agrsmdel AddRemove-QuestBasic .

txt 2012-01-16 16:15 .End Of File .e xe c:\archivos de programa\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.dll c:\windows\system32\msi.dll c:\windows\system32\webcheck.exe c:\archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.c:\archiv~1\ARCHIV~1\MICROS~1\OFFICE14\Cultures\office.exe c:\archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FN PLicensingService. Pre-Run: 224.368 bytes libres Post-Run: 230.398.exe c:\windows\system32\wdfmgr.208 bytes libres .exe c:\archivos de programa\Intel\Intel(R) Management Engine Components\LMS\LMS.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect .odf c:\archiv~1\MICROS~3\Office14\3082\GrooveIntlResource.exe c:\windows\system32\wbem\unsecapp.070.0A5E87DA7A071419FF0F63C8296907D6 . Completion time: 2012-01-16 11:15:29 .exe c:\archivos de programa\Bonjour\mDNSResponder.Other Running Processes -----------------------. ..558. ************************************************************************** ..exe c:\archivos de programa\Microsoft SQL Server\MSSQL\Binn\sqlservr. c:\archivos de programa\idt\wdm\STacSV.exe c:\archivos de programa\Archivos comunes\Protexis\License Service\PsiService_2. WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.machine was rebooted ComboFix-quarantined-files.exe c:\archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.074. -----------------------.exe .exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.dll .