Hola a todos; querria que me auydasen a eliminar el siguiente problema.

hace unos meses me entro el virtumonde, intente eliminarlo con herramientas como spybot, ewido micro o stinger y aunq el ewido conseguia eliminarlo, al hacer otro escaneo volvia a aparecer.

creo q esto se debe a q el virus (este u otro q pueda tener), esta residente en memoria; el caso esq en mi desesperacion por eliminarlo no se si hice algo mal q ahora mi xp se reinicia solo sin aviso. podrian ayudarme?. gracias

Hola ! Como estas ?

Sugiero q hagas estos pasos en este orden y sin saltearte ninguno:

1) Descarga e instala y/o actualiza estos programas (no los ejecutes aún).

- SUPERAntiSpyware (http://www.infospyware.com/Anti-Spywares.htm)
- DelPSGuard (http://www.forospyware.com/t4239.html#post17701)
- VundoFix.exe (http://www.infospyware.com/Anti-Malwares.htm)
- ComboFix.exe (http://www.infospyware.com/Anti-Malwares.htm) y guárdala en el escritorio de Windows.
- CCleaner (http://www.infospyware.com/Herramientas.htm) [Manual] (http://www.forospyware.com/t39511.html)

2) A continuación:

- Apaga Restaurar Sistema (http://www.forospyware.com/292280-post2.html).
- Activa Ver Archivos Ocultos (http://www.forospyware.com/292282-post3.html).
- Inicia tu pc en Modo Seguro (http://www.forospyware.com/292284-post4.html).

3) A continuación ejecuta en este orden:

- SUPERAntiSpyware
- DelPSGuard
- VundoFix.exe

Originalmente publicado por El Piedra

*Nota* Para ejecutar la herramienta VundoFix.exe sigua estos pasos
Hacer Doble-click al archivo VundoFix.exe para activarlo.
Marque la casilla - "Run VundoFix as a task".
Recibirá un mensaje que dice que el programa se cerrara y que abrira nuevamente en un minuto o menos. Déle ACEPTAR.
Cuando VundoFix abre nuevamente, presione el botón "Scan for Vundo"
Una vez que termina la exploración, presione el botón "Remove Vundo"
Recibirá un mensaje preguntado si desea quitar los archivos y ponerle YES
Una vez presionado YES su escritorio parpadeara en blanco ya que esta quitando el parasito.
Cuando termina presionar en OK para reiniciar el equipo en modo normal.

- ComboFix.exe y para ejecutarlo hacé esto:

Hace doble-click en el archivo combofix.exe y seguí los avisos. Cuando termine este generara un reporte que tendrías que pegar aquí en este post así lo analizamos.
Nota: Puede que algunos Antivirus como Panda detecten un falso positivo en ComboFix pero no hay que preocuparse por esto.

Por último, elimina los BackUps del VundoFix y también al VundoFix.

- CCleaner, y usa su opción "Limpiador" para eliminar cookies y temporales. Luego usa la opción "Registro", para limpiar toda basura q haya en el registro de Windows (antes, realiza una copia de seguridad).

4) Reinicia en Modo Normal.

5) Activa Restaurar Sistema y desactiva Ver Archivos Ocultos

6) Pásale a estos 2 antivirus online a tu pc:

- Ewido (una vez q termina de escanear, clickea en Remove Infections). [Manual] (http://www.forospyware.com/t42048.html)
- Kaspersky (una vez q termina de escanear, péganos el reporte q te dé aquí, para su posterior análisis). [Manual] (http://www.forospyware.com/t55793.html)

Nota: Es MUY importante q me pegues el reporte del Kaspersky aquí.

Abrazo y comentame como te fue.

hola que tal... fijate como se llama el malware q esta en la memoria..
buscalo y borralo manualmente. eso ayuda en veces .. saludos :Bien:

Gracias, lo pruebo y t cuento. Ahh algo importante, desde hace unas semanas, debido a lo inestable de mi xp, ejecuto ubuntu feisty fawn desde un cd. este sistema es totalmente estable y no se reinicia como windows, x lo cual deberia descartar el fallo del hardware no?.

el unico motivo x el q sigo con windows esq para instalar software en linux hay q sacarse un cursillo; no veas si es dificil la cosa!

en modo a prueba de fallos no se me permite ejecutar SUPERAntiSpyware.

lo intento en modo normal

asi es.. tu problema no es hardware.. tienes un virus en la memoria... esos se quitan . entrando a modo prueba de fallos... y pasandole el antivirus como el nod32.. despues un spyware.. como el spy emergency.. y cualquiera de los dos te dira el nombre del archivo maligno... pero en veces no te deja borrarlo por que esta en la memoria.,.. lo que sirve es encontrar donde se encuentra.. cai siempre esta en c:archivos de programa.. y borrar la carpeta donde esta.. reinicias y listo....:Bien: eso tiene que ayudarte :afirmar:

Hola,

Por ahora prosigue con los pasos que te indico "El Dutche"

Saludos

hay alguna manera d eliminar estos virus usando ubuntu feisty fawn??.

inicio en modo a prueba de fallos, sigo los pasos, reinicio en modo normal para hacer los ultimos escaneos y sigue reiniciandose solo, con la consiguiente perdida de cordura por mi parte, heheheh.

Hola de nuevo ! Como estas ?

Bueno, mirá, cuando se te reinicia no te preocupes, después q se te reinicie, sigue con los pasos q te faltan hacer y listo.

Abrazo y nos comentas... :Bien:

ahora me aparecen avisos de intrusiones por el zone alarm, ademas de un nuevo virus q fue detectado por avast, el totour.exe.

ademas de todo esto, el escaner de correo de avast detecta emails sospechosos cada 5 segundos, es como si me estuvieran avasallando


otro aviso de avast "C:\WINDOWS\system32\qwerty12.exe\[PECompact]"

Péganos los reportes del Ewido y del Kaspersky aquí, así los analizamos.

imposible, el pc se reinicia automaticamente siempre antes d terminar el escaneo de cualkiera de las dos herramientas (ewido, kaspersky)...desesperante.

puede q fuera por una actualizacion d windows q hice poco antes de q empezara mi problema??, no le di mucha importancia xq entonces ya estaba petado con el virtumonde.

imposible, el pc se reinicia automaticamente siempre antes d terminar el escaneo de cualkiera de las dos herramientas (ewido, kaspersky)...desesperante.

Hacé una cosa, reinicia en modo seguro con funciones de red, y fíjate si ahí puedes hacer correr el Ewido y el Kaspersky en tu pc.

Abrazo y nos comentas...

asi fue, aki estan los reportes de ambas aplicaciones. hice dos escaneos con ewido, ya q eliminaba los virus y volvian a aparecer.

ewido 1

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: Not-A-Virus.SpamTool.Win32.Agent.u
Path: [1556] c:\cp1041.nls
Risk: Low

Name: Trojan.Agent.afg
Path: C:\System Volume Information\_restore{8C34E0EE-06DE-4170-8714-BD25A9390DCD}\RP1\A0002011.exe
Risk: High

Name: Trojan.Agent.afg
Path: C:\System Volume Information\_restore{8C34E0EE-06DE-4170-8714-BD25A9390DCD}\RP1\A0003013.exe
Risk: High

Name: Trojan.Agent.afg
Path: C:\System Volume Information\_restore{8C34E0EE-06DE-4170-8714-BD25A9390DCD}\RP1\A0004011.exe
Risk: High

Name: Trojan.Agent.j
Path: C:\WINDOWS\system32\d.dll
Risk: High



ewido 2



ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: Not-A-Virus.SpamTool.Win32.Agent.u
Path: [1556] c:\cp1041.nls
Risk: Low

Name: Trojan.Agent.j
Path: C:\WINDOWS\system32\__delete_on_reboot__d_._d_l_l_
Risk: High


kaspersky (no elimina ningun virus!!)


-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
martes, 24 de julio de 2007 16:05:33
Sistema operativo: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.0
Ultima actualización: 24/07/2007
Registros en la base antivirus: 344432
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: standard
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
A:\
C:\
D:\
E:\
F:\

Estadísticas:
Número de objeros analizados: 86560
Virus encontrados: 5
Objetos infectados: 4 / 0
Objetos sospechosos: 2
Duración del análisis: 02:12:36

Bombre del objeto infectado / Nombre del virus / Última acción
C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\MSHist0120070724200707 25\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Temp\Perflib_Perfdata_384.dat Object is locked saltado
C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\SUP ERANTISPYWARE.LOG Object is locked saltado
C:\Documents and Settings\Administrador\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\Administrador\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Dr Watson\user.dmp Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\Nurech.zip/uzcx.exe Sospechosos: Password-protected-EXE saltado
C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\Nurech.zip ZIP: sospechoso - 1 saltado
C:\Documents and Settings\builder\Configuración local\Temp\hsperfdata_builder\2872 Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\System Volume Information\_restore{8C34E0EE-06DE-4170-8714-BD25A9390DCD}\RP1\A0006016.exe Infectados: Trojan.Win32.Agent.aoy saltado
C:\System Volume Information\_restore{8C34E0EE-06DE-4170-8714-BD25A9390DCD}\RP1\change.log Object is locked saltado
C:\WINDOWS\$NtUninstallKB835732$\callcont.dll Object is locked saltado
C:\WINDOWS\$NtUninstallKB835732$\cmdevtgprov.dll Object is locked saltado
C:\WINDOWS\$NtUninstallKB835732$\evtgprov.dll Object is locked saltado
C:\WINDOWS\$NtUninstallKB835732$\gdi32.dll Object is locked saltado
C:\WINDOWS\$NtUninstallKB835732$\h323.tsp Object is locked saltado
C:\WINDOWS\$NtUninstallKB835732$\h323msp.dll Object is locked saltado
C:\WINDOWS\$NtUninstallKB835732$\helpctr.exe Object is locked saltado
C:\WINDOWS\$NtUninstallKB835732$\ipnathlp.dll Object is locked saltado
C:\WINDOWS\$NtUninstallKB835732$\lsasrv.dll Object is locked saltado
C:\WINDOWS\$NtUninstallKB835732$\mf3216.dll Object is locked saltado
C:\WINDOWS\$NtUninstallKB835732$\msasn1.dll Object is locked saltado
C:\WINDOWS\$NtUninstallKB835732$\msgina.dll Object is locked saltado
C:\WINDOWS\$NtUninstallKB835732$\mst120.dll Object is locked saltado
C:\WINDOWS\$NtUninstallKB835732$\netapi32.dll Object is locked saltado
C:\WINDOWS\$NtUninstallKB835732$\nmcom.dll Object is locked saltado
C:\WINDOWS\$NtUninstallKB835732$\rtcdll.dll Object is locked saltado
C:\WINDOWS\$NtUninstallKB835732$\schannel.dll Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\Internet Logs\fwdbglog.txt Object is locked saltado
C:\WINDOWS\Internet Logs\fwpktlog.txt Object is locked saltado
C:\WINDOWS\system32\config\Antivirus.Evt Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\dcnpcdwc.exe Infectados: Trojan-Dropper.Win32.Agent.bmk saltado
C:\WINDOWS\system32\drivers\atapi.sys Object is locked saltado
C:\WINDOWS\system32\drivers\ndis.sys Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\xpdx.sys Object is locked saltado
C:\WINDOWS\system32\__delete_on_reboot__d_._d_l_l_ Infectados: Trojan.Win32.Agent.afg saltado
C:\__delete_on_reboot__c_p_1_0_4_1_._n_l_s_ Infectados: Virus.Win32.Agent.x saltado

Análisis completado.

Hola otra vez ! Como has estado ?

Bueno, prosigamos ahora con estos pasos:

1) Activa ver archivos ocultos (http://www.forospyware.com/t68195.html) y luego reinicia tu pc en modo a prueba de fallos (http://www.forospyware.com/t68195.html) busca y elimina manualmente estos archivos:

C:\WINDOWS\system32\__delete_on_reboot__d_._d_l_l_
C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\Nurech.zip ZIP

Si no se dejan eliminar utiliza para hacerlo al FileASSASSIN (http://www.infospyware.com/Herramientas.htm) y si no se dejan eliminar con el FileASSASSIN, eliminalos con el KillBox (http://www.forospyware.com/t68195.html).

2) Reinicia en modo normal.

3) Desactiva restaurar sistema.

4) Activa restaurar sistema.

5) Vacia completamente la papelera de reciclaje.

6) Hacé un nuevo escaneo con el Kaspersky online y péganos el reporte q te dé.


Abrazo y nos comentas...

elimine el archivo q m indicaste en el directorio de spybot.

C:\WINDOWS\system32\__delete_on_reboot__d_._d_l_l_ ....este desaparecio, no lo encontre asi q no lo pude borrar.

hago un escaneo de las areas criticas en kaspersky y lo pego. si se interrumpe por el reinicio automatico lo hago en modo seguro otra vez.

por cierto, acerca de los avisos de avast sobre el totour.exe y los avisos (miles) del escaner de correo de avast sobre correos sospechosos q puedo hacer??, es para volverse loco

segundo informe del kaspersky



-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
martes, 24 de julio de 2007 19:04:24
Sistema operativo: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.0
Ultima actualización: 24/07/2007
Registros en la base antivirus: 344524
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: standard
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Áreas críticas:
C:\WINDOWS
C:\DOCUME~1\builder\CONFIG~1\Temp\

Estadísticas:
Número de objeros analizados: 17306
Virus encontrados: 2
Objetos infectados: 2 / 0
Objetos sospechosos: 0
Duración del análisis: 00:35:11

Bombre del objeto infectado / Nombre del virus / Última acción
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\Internet Logs\BOMBITA-6I3PIAN.ldb Object is locked saltado
C:\WINDOWS\Internet Logs\fwdbglog.txt Object is locked saltado
C:\WINDOWS\Internet Logs\fwpktlog.txt Object is locked saltado
C:\WINDOWS\Internet Logs\IAMDB.RDB Object is locked saltado
C:\WINDOWS\Internet Logs\tvDebug.log Object is locked saltado
C:\WINDOWS\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado
C:\WINDOWS\Sti_Trace.log Object is locked saltado
C:\WINDOWS\system32\config\Antivirus.Evt Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\dcnpcdwc.exe Infectados: Trojan-Dropper.Win32.Agent.bmk saltado
C:\WINDOWS\system32\drivers\atapi.sys Object is locked saltado
C:\WINDOWS\system32\drivers\ndis.sys Object is locked saltado
C:\WINDOWS\system32\h323log.txt Object is locked saltado
C:\WINDOWS\system32\wbem\Logs\wbemess.log Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\xpdx.sys Object is locked saltado
C:\WINDOWS\Temp\Perflib_Perfdata_148.dat Object is locked saltado
C:\WINDOWS\Temp\ZLT042cc.TMP Object is locked saltado
C:\WINDOWS\Temp\ZLT042e9.TMP Object is locked saltado
C:\WINDOWS\Temp\_avast4_\unp212777428.tmp Object is locked saltado
C:\WINDOWS\Temp\_avast4_\unp213551614.tmp Object is locked saltado
C:\WINDOWS\Temp\_avast4_\unp213569689.tmp Object is locked saltado
C:\WINDOWS\Temp\_avast4_\unp217284951.tmp Object is locked saltado
C:\WINDOWS\Temp\_avast4_\unp242963779.tmp Object is locked saltado
C:\WINDOWS\Temp\_avast4_\unp24309501.tmp Object is locked saltado
C:\WINDOWS\Temp\_avast4_\unp25311892.tmp Object is locked saltado
C:\WINDOWS\Temp\_avast4_\unp26592325.tmp Object is locked saltado
C:\WINDOWS\Temp\_avast4_\unp27432713.tmp Object is locked saltado
C:\WINDOWS\Temp\_avast4_\unp28483788.tmp Infectados: Trojan.Win32.Agent.afg saltado
C:\WINDOWS\Temp\_avast4_\unp5908600.tmp Object is locked saltado
C:\WINDOWS\Temp\_avast4_\Webshlock.txt Object is locked saltado
C:\WINDOWS\wiadebug.log Object is locked saltado
C:\WINDOWS\wiaservc.log Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado
C:\DOCUME~1\builder\CONFIG~1\Temp\~DF2772.tmp Object is locked saltado

Análisis completado.

Hola !

Hacé esto:

De nuevo, activa ver archivos ocultos (http://www.forospyware.com/t68195.html) y luego reinicia tu pc en modo a prueba de fallos (http://www.forospyware.com/t68195.html) busca y elimina manualmente estos archivos:

C:\WINDOWS\system32\dcnpcdwc.exe
C:\WINDOWS\Temp\_avast4_\unp28483788.tmp

Si no se dejan eliminar utiliza para hacerlo al FileASSASSIN (http://www.infospyware.com/Herramientas.htm).

2) Reinicia en modo normal.

3) Vacia la papelera de reciclaje si te aparece algo allí.

4) Hacé un escaneo con el Kaspersky a Mi PC (no sólo a las áreas críticas) y péganos el nuevo reporte.

Abrazo y paciencia...

ahi va el tercer report de kaspersky...


-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
miércoles, 25 de julio de 2007 2:03:04
Sistema operativo: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.0
Ultima actualización: 24/07/2007
Registros en la base antivirus: 344595
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: standard
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
A:\
C:\
D:\
E:\
F:\

Estadísticas:
Número de objeros analizados: 86047
Virus encontrados: 3
Objetos infectados: 5 / 0
Objetos sospechosos: 0
Duración del análisis: 01:19:15

Bombre del objeto infectado / Nombre del virus / Última acción
C:\cp1041.nls Infectados: Virus.Win32.Agent.x saltado
C:\Documents and Settings\builder\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\builder\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\builder\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\builder\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\builder\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\builder\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\builder\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\System Volume Information\_restore{8C34E0EE-06DE-4170-8714-BD25A9390DCD}\RP2\A0021081.exe Infectados: Trojan-Dropper.Win32.Agent.bmk saltado
C:\System Volume Information\_restore{8C34E0EE-06DE-4170-8714-BD25A9390DCD}\RP2\A0021094.dll Infectados: Trojan.Win32.Agent.afg saltado
C:\System Volume Information\_restore{8C34E0EE-06DE-4170-8714-BD25A9390DCD}\RP2\change.log Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\Internet Logs\fwdbglog.txt Object is locked saltado
C:\WINDOWS\Internet Logs\fwpktlog.txt Object is locked saltado
C:\WINDOWS\system32\config\Antivirus.Evt Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\drivers\atapi.sys Object is locked saltado
C:\WINDOWS\system32\drivers\ndis.sys Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\xpdx.sys Object is locked saltado
C:\WINDOWS\system32\ytihyylid.dll Infectados: Trojan.Win32.Agent.afg saltado
C:\WINDOWS\Temp\_avast4_\unp83757527.tmp Infectados: Trojan.Win32.Agent.afg saltado

Análisis completado.

Hola !

Hacé esto:

1) Activa ver archivos ocultos (http://www.forospyware.com/t68195.html) y luego reinicia tu pc en modo a prueba de fallos (http://www.forospyware.com/t68195.html) busca y elimina manualmente estos archivos:

C:\cp1041.nls
C:\WINDOWS\system32\ytihyylid.dll
C:\WINDOWS\Temp\_avast4_

Si no se dejan eliminar utiliza para hacerlo al FileASSASSIN (http://www.infospyware.com/Herramientas.htm) y si no se dejan eliminar con el FileASSASSIN, eliminalos con el KillBox (http://www.forospyware.com/t68195.html).

2) Reinicia en modo normal y luego desactiva ver archivos ocultos.

3) Desactiva restaurar sistema.

4) Activa restaurar sistema.

5) Hacé un nuevo escaneo con el Kaspersky y péganos el nuevo reporte.


Abrazo y paciencia....

enesimo scan


-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
lunes, 30 de julio de 2007 23:09:53
Sistema operativo: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.0
Ultima actualización: 30/07/2007
Registros en la base antivirus: 346954
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: standard
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
A:\
C:\
D:\
E:\
F:\

Estadísticas:
Número de objeros analizados: 86123
Virus encontrados: 2
Objetos infectados: 4 / 0
Objetos sospechosos: 0
Duración del análisis: 01:20:45

Bombre del objeto infectado / Nombre del virus / Última acción
C:\Documents and Settings\builder\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\builder\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\builder\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\builder\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\builder\Configuración local\Historial\History.IE5\MSHist0120070730200707 31\index.dat Object is locked saltado
C:\Documents and Settings\builder\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\builder\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\builder\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\builder\UserData\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\System Volume Information\_restore{8C34E0EE-06DE-4170-8714-BD25A9390DCD}\RP2\A0021081.exe Infectados: Trojan-Dropper.Win32.Agent.bmk saltado
C:\System Volume Information\_restore{8C34E0EE-06DE-4170-8714-BD25A9390DCD}\RP2\A0021094.dll Infectados: Trojan.Win32.Agent.afg saltado
C:\System Volume Information\_restore{8C34E0EE-06DE-4170-8714-BD25A9390DCD}\RP2\A0023109.dll Infectados: Trojan.Win32.Agent.afg saltado
C:\System Volume Information\_restore{8C34E0EE-06DE-4170-8714-BD25A9390DCD}\RP2\change.log Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\Internet Logs\fwdbglog.txt Object is locked saltado
C:\WINDOWS\Internet Logs\fwpktlog.txt Object is locked saltado
C:\WINDOWS\system32\config\Antivirus.Evt Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\drivers\atapi.sys Object is locked saltado
C:\WINDOWS\system32\drivers\ndis.sys Object is locked saltado
C:\WINDOWS\system32\vcu.dll Infectados: Trojan.Win32.Agent.afg saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\xpdx.sys Object is locked saltado

Análisis completado.

-------------------------------------------------------------------------

ahh una cosa mas, el archivo nls, me vuelve a aparecer al reiniciar, al igual q el temp/_avast4_ ; el archivo de system32 q dijiste q eliminara no está

Hola de nuevo, como estas ?

Hacé esto ahora:

1) Activa ver archivos ocultos (http://www.forospyware.com/t68195.html) y luego reinicia tu pc en modo a prueba de fallos (http://www.forospyware.com/t68195.html) busca y elimina manualmente este archivo:

C:\WINDOWS\system32\vcu.dll

Si no se deja eliminar utiliza para hacerlo al FileASSASSIN (http://www.infospyware.com/Herramientas.htm) y si no se deja eliminar con el FileASSASSIN, eliminalo con el KillBox (http://www.forospyware.com/t68195.html).

2) Reinicia en modo normal y luego desactiva ver archivos ocultos.

3) Desactiva restaurar sistema.

4) Activa restaurar sistema.

5) Péganos un nuevo reporte del Kaspersky aquí.

Abrazo.

-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER INFORME

lunes, 13 de agosto de 2007 21:33:11

Sistema operativo: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.0

Ultima actualización: 13/08/2007

Registros en la base antivirus: 355978

-------------------------------------------------------------------------------



Configuración del análisis:

Analizar usando las siguientes bases: standard

Analizar archivos: verdadero

Analizar bases de correo: verdadero



Objetivo a analizar - Mi PC:

A:\

C:\

D:\

E:\

F:\



Estadísticas:

Número de objeros analizados: 86381

Virus encontrados: 2

Objetos infectados: 2 / 0

Objetos sospechosos: 0

Duración del análisis: 01:18:45



Bombre del objeto infectado / Nombre del virus / Última acción

C:\cp1041.nls Infectados: Virus.Win32.Agent.x saltado

C:\Documents and Settings\builder\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\builder\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\builder\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\builder\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\builder\Configuración local\Historial\History.IE5\MSHist0120070730200708 06\index.dat Object is locked saltado

C:\Documents and Settings\builder\Configuración local\Historial\History.IE5\MSHist0120070813200708 14\index.dat Object is locked saltado

C:\Documents and Settings\builder\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\builder\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\builder\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\builder\UserData\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\System Volume Information\_restore{8C34E0EE-06DE-4170-8714-BD25A9390DCD}\RP3\change.log Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\Internet Logs\fwdbglog.txt Object is locked saltado

C:\WINDOWS\Internet Logs\fwpktlog.txt Object is locked saltado

C:\WINDOWS\system32\config\Antivirus.Evt Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\drivers\atapi.sys Object is locked saltado

C:\WINDOWS\system32\drivers\ndis.sys Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado

C:\WINDOWS\system32\wfsnctz.dll Infectados: Trojan.Win32.Agent.afg saltado

C:\WINDOWS\system32\xpdx.sys Object is locked saltado



Análisis completado.


-----------------------------------------------------------------------------------------------
C:\cp1041.nls, me aparece cada vez q reinicio el pc en modo normal. y x alguna razon, no m funciona ninguno d mis navegadores ni en modo normal y a prueba de fallos. estoy posteando esto mediante linux, pero no podre ejecutar kaspersky sin internet explorer

puede alguien ayudarme por favor??

Hola ompare

Por favor debes hacer los pasos uno por uno y si se te manda a ejecuta programas debes hacerlo ya que para nostros es muy importante...

Descargate SDFix (http://www.forospyware.com/t77529.html) y guárdala y descomprimirla en tu escritorio pero no la ejecutes aun.


- Nota*1 Es posible que el antivirus que tengas instalado te advierta de una infección en la herramienta SDFix, es debido al tipo de código pero no te preocupes por ello, permite el paso de la herramienta.
- Nota*2 SDFix funcionará solamente en el Windows 2000 y Windows XP en modo seguro (Requiere privilegios de la cuenta del administrador)


- Reinicia eh inicia en "Modo a prueba de fallos" (http://www.forospyware.com/292284-post4.html)

- Busca y elimina estos archivos/carpetas (Si no lo/los encuentras activa ''Ver archivos ocultos del sistema'' (http://www.forospyware.com/t13.html)),si no se dejan eliminar descarga el programa "FileASSASSIN" (http://www.forospyware.com/298547-post10.html),con la opción "Use la función eliminar al reiniciar windows"

C:\cp1041.nls
C:\WINDOWS\system32\wfsnctz.dll
C:\WINDOWS\system32\xpdx.sys

- Reinicia el PC a "Modo normal"


Descarga la herramienta ComboFix.exe (http://www.infospyware.com/Anti-Malwares.htm) y guárdala en el escritorio de Win.
Hace doble-click en el archivo combofix.exe y seguí los avisos.
Cuando termine este generara un reporte que tendrías que pegar en este mismo mensaje.

Nota* Puede que algunos Antivirus como Panda detecten un falso positivo (http://www.forospyware.com/glossary.php?do=viewglossary&term=20)en ComboFix pero no hay que preocuparse por esto.



salu2 http://img455.imageshack.us/img455/7932/icontwistedrp4.gif
Recuerda volver y contarnos los resultados

Hola!!!

Te Recomiento que actualices tu sistema esta muy desactualizado tienes apenas Service Pack 1. Te faltan demasiados parches.

Vista Windows Update (http://windowsupdate.microsoft.com/) para que actualizes Windows XP.

Sigue los pasos de **Devil May Cray**

Saludos:Bien: