Hola a tosdos!
hace ya más de un mes que tengo varios archivos infectados y no puedo eliminarlos.
Tengo el panda internet security actualizado.
El primeto fué el ijlrgzuo.dat en system32/drivers, el panda identifico Rootkit/Agent.IOW. Lo identifica, dice que lo desinfecta pero al siguiente análisis lo vuelve a encontrar y así continuamente. Yo no he podido eliminarlo ni con el fileassessin. Ni en modo a prueba de errores.
Luego tambien me encontro el Rootkit/Spamer.ADX en el ofwlzgeu.dat de los achivos temporales. Este tampoco lo desinfecta definitivamente ni yo puedo eliminarlo.
En la unidad extraible me encontro el W32/Beagle.SA.worm. Lo desinfecto y ademas ya formatee la unidad.
Mi consulta es como eliminar los dos primeros.
He pasado el active scan on-line pero tampoco los elimina ni desinfecta.
Gracias
Vert

:1: Descarga Superantispyware (http://www.infospyware.com/Anti-Spywares.htm)
(actualizalo)


:2: Descarga Malwarebytes Antimalware (http://www.infospyware.com/Anti-Malwares.htm) (actualizalo)

:3: Apaga restaurar sistema (http://www.forospyware.com/t68195.html#post292280)

:4: Inicia a modo prueba de fallos (http://www.forospyware.com/t68195.html#post292284)

:5: Ejecuta superantispyware (elimina lo que encuentre)

:6: Inicia en modo normal

:7: Ejecuta Malwarebytes Antimalware

:8: Utiliza el programa ccleaner (http://www.forospyware.com/t105564.html). pasando por su opcion limpiador para eliminar archivos obsoletos.pasa luego por su opcion del registro (haciendo copia de seguridad)

:9: Haz un scan con kaspersky (http://www.kaspersky.com/virusscanner) para detectar infecciones y pegas el log aqui.

salu2.

Hola Residentevil,
gracias por contestar.
He seguido los pasos y aquí te pego el reporte del kaspersky.
Es curiosos pq no me detecta los archivos que me detecta el Panda.
No he podido entrar en la página para bajar el marwatebytes así que no lo puedo pasar.
Tampoco puedo entrar para bajar la actualizacion del superantiepaware. Le pasé la del 2007.
Bueno, aquí te dejo el informe.



KASPERSKY ONLINE SCANNER REPORT
Wednesday, May 07, 2008 6:11:53 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 7/05/2008
Kaspersky Anti-Virus database records: 743648


Scan Settings
Scan using the following antivirus database extended
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
A:\
C:\
D:\
E:\
Scan Statistics
Total number of scanned objects 244697
Number of viruses found 2
Number of infected objects 8
Number of suspicious objects 0
Duration of the scan process 07:30:21

Infected Object Name Virus Name Last Action
C:\Archivos de programa\Panda Software\Panda Internet Security 2007\AntiSpam\MshConf\scoffset.bin.incr Object is locked skipped

C:\Archivos de programa\Panda Software\Panda Internet Security 2007\edb044dd8f31499c8e16e95ef328adb7PSK_NAMES Object is locked skipped

C:\Archivos de programa\Panda Software\Panda Internet Security 2007\edb044dd8f31499c8e16e95ef328adb7PSK_NAMES2 Object is locked skipped

C:\Archivos de programa\Trend Micro\HijackThis\backups\backup-20080317-000014-621.dll Infected: Trojan.Win32.Pakes.cdw skipped

C:\Archivos de programa\Trend Micro\HijackThis\backups\backup-20080501-201939-843.dll Infected: Trojan.Win32.Pakes.cdw skipped

C:\Archivos de programa\Trend Micro\HijackThis\backups\backup-20080501-202208-406.dll Infected: Trojan.Win32.Pakes.cdw skipped

C:\Archivos de programa\Trend Micro\HijackThis\backups\backup-20080501-202438-757.dll Infected: Trojan.Win32.Pakes.cdw skipped

C:\Archivos de programa\Trend Micro\HijackThis\backups\backup-20080501-202530-413.dll Infected: Trojan.Win32.Pakes.cdw skipped

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\nae\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\nae\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\nae\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\nae\Configuración local\Historial\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\nae\Configuración local\Historial\History.IE5\MSHist0120080507200805 08\index.dat Object is locked skipped

C:\Documents and Settings\nae\Configuración local\Temp\~DF23CE.tmp Object is locked skipped

C:\Documents and Settings\nae\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\nae\ntuser.dat Object is locked skipped

C:\Documents and Settings\nae\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\nae\UserData\index.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\Configuración local\Historial\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

C:\Inetpub\catalog.wci\00000002.ps1 Object is locked skipped

C:\Inetpub\catalog.wci\00000002.ps2 Object is locked skipped

C:\Inetpub\catalog.wci\00010003.ci Object is locked skipped

C:\Inetpub\catalog.wci\cicat.fid Object is locked skipped

C:\Inetpub\catalog.wci\cicat.hsh Object is locked skipped

C:\Inetpub\catalog.wci\CiCL0001.000 Object is locked skipped

C:\Inetpub\catalog.wci\CiP10000.000 Object is locked skipped

C:\Inetpub\catalog.wci\CiP20000.000 Object is locked skipped

C:\Inetpub\catalog.wci\CiPT0000.000 Object is locked skipped

C:\Inetpub\catalog.wci\CiSL0001.000 Object is locked skipped

C:\Inetpub\catalog.wci\CiSP0000.000 Object is locked skipped

C:\Inetpub\catalog.wci\CiST0000.000 Object is locked skipped

C:\Inetpub\catalog.wci\CiVP0000.000 Object is locked skipped

C:\Inetpub\catalog.wci\INDEX.000 Object is locked skipped

C:\Inetpub\catalog.wci\propstor.bk1 Object is locked skipped

C:\Inetpub\catalog.wci\propstor.bk2 Object is locked skipped

C:\pstpassword_setup.exe/PstPassword.exe Infected: not-a-virus:PSWTool.Win32.MailPassView.g skipped

C:\pstpassword_setup.exe ZIP: infected - 1 skipped

C:\System Volume Information\catalog.wci\00000002.ps1 Object is locked skipped

C:\System Volume Information\catalog.wci\00000002.ps2 Object is locked skipped

C:\System Volume Information\catalog.wci\0001000F.ci Object is locked skipped

C:\System Volume Information\catalog.wci\cicat.fid Object is locked skipped

C:\System Volume Information\catalog.wci\cicat.hsh Object is locked skipped

C:\System Volume Information\catalog.wci\CiCL0001.000 Object is locked skipped

C:\System Volume Information\catalog.wci\CiP10000.000 Object is locked skipped

C:\System Volume Information\catalog.wci\CiP20000.000 Object is locked skipped

C:\System Volume Information\catalog.wci\CiPT0000.000 Object is locked skipped

C:\System Volume Information\catalog.wci\CiSL0001.000 Object is locked skipped

C:\System Volume Information\catalog.wci\CiSP0000.000 Object is locked skipped

C:\System Volume Information\catalog.wci\CiST0000.000 Object is locked skipped

C:\System Volume Information\catalog.wci\CiVP0000.000 Object is locked skipped

C:\System Volume Information\catalog.wci\INDEX.000 Object is locked skipped

C:\System Volume Information\catalog.wci\propstor.bk1 Object is locked skipped

C:\System Volume Information\catalog.wci\propstor.bk2 Object is locked skipped

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

C:\System Volume Information\_restore{E4BB1402-39A5-485D-AA0C-DCD3E98D4E3C}\RP6\change.log Object is locked skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\infoal.dat Object is locked skipped

C:\WINDOWS\Internet Logs\IAMDB.RDB Object is locked skipped

C:\WINDOWS\Internet Logs\NAE-8EF2527E7DE.ldb Object is locked skipped

C:\WINDOWS\Internet Logs\tvDebug.log Object is locked skipped

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked skipped

C:\WINDOWS\Sti_Trace.log Object is locked skipped

C:\WINDOWS\system32\at.dll Infected: Trojan.Win32.Pakes.cdw skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\default Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\software Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\system Object is locked skipped

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\h323log.txt Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped

C:\WINDOWS\TEMP\ZLT0428c.TMP Object is locked skipped

C:\WINDOWS\wiadebug.log Object is locked skipped

C:\WINDOWS\wiaservc.log Object is locked skipped

C:\WINDOWS\WindowsUpdate.log Object is locked skipped

E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

Scan process completed.

El pstpassword_setup.exe/PstPassword.exe ya lo borré.
Pero este: pstpassword_setup.exe ZIP: infected - 1 skipped No lo encontré.
El at.dll no se ha dejado borrar ni con el fileassesin.

Los backup del hijacthis los borré todos.
Vert.

descarga Otmoveit (http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe)


Haz un doble clic sobre OTMoveIt.exe para ejecutarlo.
Asegurate que este marcado "Unregister Dll's and Ocx's".
Copia el texto que se encuentra en el cuadrado más abajo, y pega el texto en el marco de izquierdo de OTMoveIt nombrado Paste List of Filas / Folders to be moved.


C:\pstpassword_setup.exe
C:\WINDOWS\system32\at.dll

Haz clic en MoveIt! Para lanzar la supresión.
Cuando el resultado aparece en el marco Results, haz clic enExit.
Reinicia el PC (Este paso es muy importante)


Envía el informe (reporte) de OTMoveIt situado sobre C: \ _ OTMoveIt\MovedFiles.

luego de realiza esto comentanos como esta todo junto con el reporte de otmoveit

Hola Residentevil,
aquí dejo el log.
El primero no lo encuentra pq yo ya lo habia borrado.
El at no puede borrarlo.
File/Folder C:\pstpassword_setup.exe not found.
LoadLibrary failed for C:\WINDOWS\system32\at.dll
C:\WINDOWS\system32\at.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\at.dll scheduled to be moved on reboot.

OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 05072008_225613

Files moved on Reboot...
LoadLibrary failed for C:\WINDOWS\system32\at.dll
C:\WINDOWS\system32\at.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\at.dll scheduled to be moved on reboot.




Gracias
Vert

hola elimina esos archivos con fileassassin (http://www.infospyware.com/Herramientas.htm)

Hola Residentevil,
acabo de probarlo pero no, no se deja eliminar.::ups::
Vert.

::pensar::cuando usastes otmoveit te asegurastes de esto:
Asegurate que este marcado "Unregister Dll's and Ocx's".

y reiniciastes el pc?

Hola Residentevil,
sí, miré que estuviese marcado y luego reinicié.
Ahora lo he vuelto a hacer, a ver si había suerte, pero no....

File/Folder C:\pstpassword_setup.exe not found.
LoadLibrary failed for C:\WINDOWS\system32\at.dll
C:\WINDOWS\system32\at.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\at.dll scheduled to be moved on reboot.

OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 05092008_043641

Files moved on Reboot...
LoadLibrary failed for C:\WINDOWS\system32\at.dll
C:\WINDOWS\system32\at.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\at.dll scheduled to be moved on reboot.