Es la tercera vez que abro tema, en las dos anteriores no me respondieron, a ver si en esta tengo suerte.
Tengo 4 PCs de escritorio y 1 Notebook que están conectadas entre sí pero solo comparten la conexión a Internet por un reuter D-Link 524 mixto con conexión inalámbrica y por cable.
Como están ubicadas en distintos ambientes de la casa, la señal inalámbrica no es buena y terminaron conectadas por cable.
Algún código malicioso está dando vueltas por todas y vale aclarar que se han intercambiado numerosas veces archivos por pen-drive.
Voy a empezar la consulta por una de ellas, que es la que se usó para configurar el modem ADSL y el reuter, a la que llamaré PC1.

Es un Celerón de 1.7 GHz con 512 Mb de RAM
Windows XP Profesional Versión 2002 con Service Pack2
En este momento tiene instalado Windows Live OneCare y AVG Anti-Spyware 7.5, pero desde que estoy infectado probé con la mayoría de los programas más conocidos. También está instalado SpywareBlaster 3.5.1 pero no me permite hacer actualizaciones.
En general la perfomance interna no es mala pero algunas conexiones a Internet se hacen demasiado lentas o directamente no conecta.
No recuerdo cual de los Antivirus y Antispyware que instalé anteriormente, reportó y teóricamente eliminó Win32:ctx ó algo así, pero a partir de allí comencé a notar comportamientos extraños.
La herramienta “Buscar archivos o carpetas” no completa su búsqueda y se cierra cuando se le pide encontrar aquel win32:ctx u otros parecidos.
Algo similar sucede con el scaneo del AVG Anti-Spyware 7.5 residente y también con otros escaneos on-line ya que se recetea la máquina y generalmente queda cíclicamente sin poder completar el booteo.
Todo esto sucede aún en “Modo a prueba de errores”
Luego de apagarla y volver a encenderla, muchas veces pierde la conexión a Internet y debo recetear el modem y el reuter. Además pierde los íconos de inicio rápido y no toma el cambio de hora efectuado el 30 de diciembre pasado.
El escaneo de Windows Live OneCare se interrumpe (no se recetea la máquina) y reporta el mensaje de error:

szAppName : MsMpEng.exe szAppVer : 1.5.1941.0 szModName : mpengine.dll
szModVer : 1.1.3109.0 offset : 0026512f

C:\DOCUME~1\General\CONFIG~1\Temp\WER6dfb.dir00\Ms MpEng.exe.mdmp
C:\DOCUME~1\General\CONFIG~1\Temp\WER6dfb.dir00\ap pcompat.txt


Corriendole el Casir v2 detectó y supuestamente eliminó win32.small.wv pero todo sigue igual.
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxx

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:28:37 p.m., on 31/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Archivos de programa\Microsoft Windows OneCare Live\winssnotify.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Microsoft Windows OneCare Live\Firewall\msfwsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Microsoft Windows OneCare Live\winss.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.symantec.com/techsupp/servlet/ProductMessages?product=LU&version=2.6&language=Sp anish&module=LU&error=1848&build=Symantec
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [OneCareUI] "C:\Archivos de programa\Microsoft Windows OneCare Live\winssnotify.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1103768495494
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 3837 bytes
P.D: Este log es del 31/01 no sé si es necesario actualizarlo.