Definitivamente, SÍ, mi PC tiene un (o varios) virus. Aunque desactivé la opción de restauración de Xp, NO PUEDO ARRANCAR A PRUEBA DE FALLOS: cuando pulso F8 en el arranque, la máquina se reinicia y entra en un loop que sólo me permite arrancar "normalmente". Instalé AVAST y NOD32 pero cuando intento correrlos el programa no encuentra algún archivo y no corren. Intenté desinstalarlos, y me dan algún error que lo impide. Lo mismo pasó con Bitdefender 9 y 10. Corrí el Bitdefender on line (encontró 7 archivos infectados pero no pudo eliminar 3 de ellos) y ahora estoy pasando el Kaspersky, pero no estoy en modo "a prueba de fallos" por lo que expliqué arriba. ¿Qué puedo hacer? (antes de reformatear el disco y volar toda la información?). Gracias.

Hola, ivanbello

Descarga F-Secure Blacklight (https://europe.f-secure.com/exclude/blacklight/blbeta.exe) en la carpeta C:\ y haz doble-click al archivo blbeta.exe para activarlo.
Acepta la licencia, clic "Scan" y espere un poco..
Al fin del scan, Blacklight va a indicar el nombre de "hidden items".
Cierra el programa, y mira en la carpeta C:\, el reporte generado esta en forma de documento de texto, y su nombre comienza por "fsbl…", pega este reporte.

Gracias, Jean-Chrétien, por tu oportuna y rápida respuesta. Hice lo que me recomendaste, y aquí pego el reporte:

02/10/07 07:32:41 [Info]: BlackLight Engine 1.0.55 initialized
02/10/07 07:32:41 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/10/07 07:32:45 [Note]: 7019 4
02/10/07 07:32:45 [Note]: 7005 0
02/10/07 07:32:57 [Note]: 7006 0
02/10/07 07:32:57 [Note]: 7011 1136
02/10/07 07:32:58 [Note]: 7026 0
02/10/07 07:32:58 [Note]: 7026 0
02/10/07 07:32:58 [Note]: 7024 3
02/10/07 07:32:58 [Info]: Hidden process: C:\WINDOWS\system32\hldrrr.exe
02/10/07 07:32:59 [Note]: 7024 3
02/10/07 07:32:59 [Info]: Hidden process: C:\WINDOWS\system32\hldrrr.exe
02/10/07 07:33:41 [Note]: FSRAW library version 1.7.1021
02/10/07 07:36:44 [Info]: Hidden file: c:\Archivos de programa\Movie Maker\Shared\Empty.txt
02/10/07 07:36:44 [Note]: 10002 3
02/10/07 07:36:44 [Info]: Hidden file: c:\Archivos de programa\Movie Maker\Shared\Filters.xml
02/10/07 07:36:44 [Note]: 10002 3
02/10/07 07:36:44 [Info]: Hidden file: c:\Archivos de programa\Movie Maker\Shared\news.png
02/10/07 07:36:44 [Note]: 10002 3
02/10/07 07:36:44 [Info]: Hidden file: c:\Archivos de programa\Movie Maker\Shared\paint.png
02/10/07 07:36:44 [Note]: 10002 3
02/10/07 07:36:44 [Info]: Hidden file: c:\Archivos de programa\Movie Maker\Shared\Profiles\Blank.txt
02/10/07 07:36:44 [Note]: 10002 3
02/10/07 07:36:44 [Info]: Hidden file: c:\Archivos de programa\Movie Maker\Shared\Sample1.jpg
02/10/07 07:36:44 [Note]: 10002 3
02/10/07 07:36:44 [Info]: Hidden file: c:\Archivos de programa\Movie Maker\Shared\Sample2.jpg
02/10/07 07:36:44 [Note]: 10002 3
02/10/07 07:36:44 [Note]: 10002 2
02/10/07 07:36:44 [Note]: 10002 2
02/10/07 07:38:31 [Info]: Hidden file: c:\Documents and Settings\Iván\Datos de programa\hidires\hidr.exe
02/10/07 07:38:31 [Note]: 10002 2
02/10/07 07:38:31 [Info]: Hidden file: c:\Documents and Settings\Iván\Datos de programa\hidires\m_hook.sys
02/10/07 07:38:31 [Note]: 10002 2
02/10/07 07:38:31 [Note]: 10002 3
02/10/07 07:38:31 [Note]: 10002 3
02/10/07 07:38:31 [Note]: 10002 2
02/10/07 07:38:31 [Note]: 10002 2
02/10/07 07:45:34 [Note]: 10002 2
02/10/07 07:45:34 [Note]: 10002 2
02/10/07 07:46:35 [Info]: Hidden file: C:\WINDOWS\system32\hldrrr.exe
02/10/07 07:46:35 [Note]: 10002 2
02/10/07 08:44:16 [Note]: 7007 0

Espero instrucciones en adelante.

si no puedes reiniciar en modo a prueba de fallos, es a causa de los rootkits :
C:\WINDOWS\system32\hldrrr.exe
c:\Documents and Settings\Iván\Datos de programa\hidires\hidr.exe
c:\Documents and Settings\Iván\Datos de programa\hidires\m_hook.sys

Primero, vamos a buscarlo en el registro

Descarga Registry Search Tool (http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip)
Descomprímelo y ejecútalo, en la casilla "Search pon:
hldrrr.exe
Copia el log que te arroje.

Y recomienza con :
hidr.exe
m_hook

Gracias nuevamente.
Aquí te envío los resultados:
1) Para el hldrrr.exe:
REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "hldrrr.exe" 10/02/2007 09:47:28 a.m.

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_USERS\S-1-5-21-854245398-1580436667-2146995363-1003\Software\Microsoft\Windows\ShellNoRoam\MUICac he]
"C:\\WINDOWS\\system32\\hldrrr.exe"="hldrrr"

2) Para el "hidr.exe":
REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "hidr.exe" 10/02/2007 09:52:42 a.m.

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_USERS\S-1-5-21-854245398-1580436667-2146995363-1003\Software\Microsoft\Windows\ShellNoRoam\MUICac he]
"C:\\Documents and Settings\\Iván\\Datos de programa\\hidires\\hidr.exe"="hidr"

3) ..Y para el "m_hook":
REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "m_hook" 10/02/2007 09:57:23 a.m.

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_M_HOOK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\m _hook]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\m _hook\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ LEGACY_M_HOOK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ LEGACY_M_HOOK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ LEGACY_M_HOOK\0000]
"Service"="m_hook"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\m _hook]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\m _hook\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\ LEGACY_M_HOOK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\ LEGACY_M_HOOK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\ LEGACY_M_HOOK\0000]
"Service"="m_hook"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\ LEGACY_M_HOOK\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\ LEGACY_M_HOOK\0000\Control]
"ActiveService"="m_hook"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\m _hook]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\m _hook\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\m _hook\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\m _hook\Enum]
"0"="Root\\LEGACY_M_HOOK\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_M_HOOK]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_M_HOOK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_M_HOOK\0000]
"Service"="m_hook"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_M_HOOK\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_M_HOOK\0000\Control]
"ActiveService"="m_hook"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\m_hook]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\m_hook\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\m_hook\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\m_hook\Enum]
"0"="Root\\LEGACY_M_HOOK\\0000"

:1: Descarga la utilidad The Avenger (http://swandog46.geekstogo.com/avenger.zip), y ejecuta el archivo avenger.exe.
Debajo de "Script file to execute" selecciona "Input Script Manually".
Haz clic en el icono de la lupa. Se abrirá una nueva ventana con el nombre "View/edit script".
Copia y pega, o teclea en "View/edit script" todo el texto que veras en esta pagina ivanbello (http://perso.numericable.fr/~altshift/Info/Fichiers/ivanbello.html)

Pulsa sobre "Done" y haz clic sobre la luz verde del semáforo.
Haz clic en "Yes" o "Sí" cuando te pregunte las dos veces.
El ordenador se reiniciará, se abrirá y cerrará una ventanita de ejecución del comando. Esto es normal.
Después de reiniciar, se creará un archivo log.txt ubicado en C:\avenger.txt que indicará si los archivos implicados han sido eliminados, pega este reporte.

:2: pega tambien un nuevo reporte del F-Secure Blacklight
Verifica si puedes reiniciar en modo a prueba de fallos.

Jean-Chrétien:

Hice lo que me indicaste, pero aún no puedo arrancar el equipo en modo a prueba de fallos. Tampoco puedo desinstalar AVAST ni Bitdefender 9.
Observo en el icono de conexión de red que hay actividad en mi conexión de Internet -flujo de datos- (en el área de notificación, al lado del reloj, esquina inferior derecha de la pantalla), aún cuando no estoy haciendo ninguna tansferencia, ni surfeando en la red.
En el Administrador de Tareas de Windows puedo observar que hay algunos procesos en ejecución que no me son familiares, y por el nombre parecerían "extraños", como por ejemplo: DvzMsgr.exe; PMSHost.exe; ADeck.exe; EM_EXEC.EXE. ¿Alguna sugerencia?

Abajo anexo el reporte que me pediste:

Aquí el reporte del Avenger:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\lugsocck

*******************

Script file located at: \??\C:\WINDOWS\system32\rytrhtmx.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Driver m_hook unloaded successfully.
Registry key HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_M_HOOK deleted successfully.


Registry key HKLM\SYSTEM\ControlSet001\Services\m _hook not found!
Deletion of registry key HKLM\SYSTEM\ControlSet001\Services\m _hook failed!

Could not process line:
HKLM\SYSTEM\ControlSet001\Services\m _hook
Status: 0xc0000034

Registry key HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_M_HOOK deleted successfully.


Registry key HKLM\SYSTEM\ControlSet002\Services\m _hook not found!
Deletion of registry key HKLM\SYSTEM\ControlSet002\Services\m _hook failed!

Could not process line:
HKLM\SYSTEM\ControlSet002\Services\m _hook
Status: 0xc0000034

Registry key HKLM\SYSTEM\ControlSet004\Enum\Root\LEGACY_M_HOOK deleted successfully.


Registry key HKLM\SYSTEM\ControlSet004\Services\m _hook not found!
Deletion of registry key HKLM\SYSTEM\ControlSet004\Services\m _hook failed!

Could not process line:
HKLM\SYSTEM\ControlSet004\Services\m _hook
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_H OOK not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_H OOK failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_H OOK
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
Status: 0xc0000034

File C:\WINDOWS\system32\hldrrr.exe deleted successfully.
File c:\Documents and Settings\Iván\Datos de programa\hidires\hidr.exe deleted successfully.
File c:\Documents and Settings\Iván\Datos de programa\hidires\m_hook.sys deleted successfully.
Folder c:\Documents and Settings\Iván\Datos de programa\hidires deleted successfully.


Registry key HKU\S-1-5-21-854245398-1580436667-2146995363-1003\Software\FirstRRRun not found!
Deletion of registry key HKU\S-1-5-21-854245398-1580436667-2146995363-1003\Software\FirstRRRun failed!
Status: 0xc0000034

Registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |hldrrr deleted successfully.


Could not delete registry value HKU\S-1-5-21-854245398-1580436667-2146995363-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |hldrrr
Deletion of registry value HKU\S-1-5-21-854245398-1580436667-2146995363-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |hldrrr failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

... Y aquí el del Blacklight:

02/10/07 12:58:19 [Info]: BlackLight Engine 1.0.55 initialized
02/10/07 12:58:19 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/10/07 12:58:19 [Note]: 7019 4
02/10/07 12:58:19 [Note]: 7005 0
02/10/07 12:58:23 [Note]: 7006 0
02/10/07 12:58:23 [Note]: 7011 1244
02/10/07 12:58:24 [Note]: 7026 0
02/10/07 12:58:24 [Note]: 7026 0
02/10/07 12:58:44 [Note]: FSRAW library version 1.7.1021
02/10/07 13:10:59 [Note]: 7007 0

Veremos mas tarde el problema del Avast y Bitdefender.
El rootkit elimina las siguientes claves del registro :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network

y es la razon por la cual no puedes utilizar este modo

Lo que podemos probar : restaurar estas claves. Sigue los pasos de este mensaje AYUDA! No se instala ningun antivirus! (SOLUCIONADO) (http://foros.zonavirus.com/image-vp83044.html?sid=98e39dac895c4c02b145ada0b6196590# 83044) (Publicado: Mar Feb 06, 2007 1:05 am por Nuker) y pega el reporte

Verifica si puedes de nuevo reiniciar en modo seguro

>> Si no puedes descargar la herramienta "Elibagla", busca la expresion Safeboot con RegSrch y pega el reporte

Bien!. Finalmente pude arrancar a prueba de errores gracias al EliBagle (y a tí por haberme dado el "dato").
Ahora procederé nuevamente a hacer una corrida en línea de "algún" antivirus. ¿Estás de acuerdo?. ¿Alguna otra recomendación?

Ok :Bien:

intenta desinstalar Avast utilizando esta herramienta avast! uninstall utility (http://www.avast.com/eng/avast-uninstall-utility.html)

Mira tambien aqui Additional BitDefender 9 Standard uninstall methods (http://kb.bitdefender.com/KB277-en--Additional-BitDefender-9-Standard-uninstall-methods.html)

y reinicia el pc cuando este terminado

--------

Inicio > Panel de Control > Opciones de Internet -> "Eliminar archivos", ""Eliminar cookies", y
pega un reporte del Panda ActiveScan Online (http://www.forospyware.com/foro-de-virus-y-spywares/aviso-7.html)

Muy bien: Ahora logré desinstalar el AVAST y el Bitdefender.
En adelante copio el reporte del scaneo del Panda On line:


Incidencia Estado Elemento

Spyware:Cookie/2o7 No desinfectado C:\Documents and Settings\Iván\Datos de programa\Mozilla\Firefox\Profiles\0uz8x8qi.default \cookies.txt[.2o7.net/]
Spyware:Cookie/Com.com No desinfectado C:\Documents and Settings\Iván\Datos de programa\Mozilla\Firefox\Profiles\0uz8x8qi.default \cookies.txt[.com.com/]
Spyware:Cookie/Go No desinfectado C:\Documents and Settings\Iván\Datos de programa\Mozilla\Firefox\Profiles\0uz8x8qi.default \cookies.txt[.go.com/]
Spyware:Cookie/2o7 No desinfectado C:\Documents and Settings\Iván\Datos de programa\Mozilla\Firefox\Profiles\0uz8x8qi.default \cookies.txt[.microsoftwga.112.2o7.net/]
Spyware:Cookie/Overture No desinfectado C:\Documents and Settings\Iván\Datos de programa\Mozilla\Firefox\Profiles\0uz8x8qi.default \cookies.txt[.overture.com/]
Spyware:Cookie/Overture No desinfectado C:\Documents and Settings\Iván\Datos de programa\Mozilla\Firefox\Profiles\0uz8x8qi.default \cookies.txt[.perf.overture.com/]
Spyware:Cookie/QkSrv No desinfectado C:\Documents and Settings\Iván\Datos de programa\Mozilla\Firefox\Profiles\0uz8x8qi.default \cookies.txt[.qksrv.net/]
Spyware:Cookie/Tribalfusion No desinfectado C:\Documents and Settings\Iván\Datos de programa\Mozilla\Firefox\Profiles\0uz8x8qi.default \cookies.txt[.tribalfusion.com/]
==============
¿Crees que por fin ya no tengo virus en la máquina?

Hola ivanbello

Pues el reporte solo muestra cookies de seguimiento. No te preocupes por ellas. Basta que las elimines una o dos veces por semana utilizando CCleaner (http://www.forospyware.com/t39511.html).

Si ya pudiste desinstalar el Avast! y el BitDefender, comentanos como sigue tu pc y si se puede dar el tema como Solucionado :Bien:

Saludos
JW :adios:

Cuando todo iba aparentemente "bien", ejecuté al Kaspersky Online y me dió el siguiente resultado:

KASPERSKY ONLINE SCANNER INFORMEKASPERSKY ONLINE SCANNER INFORME
domingo, 11 de febrero de 2007 6:14:17
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2
(Build 2600)
Kaspersky Online Scanner versión: 5.0.84.0
Ultima actualización: 11/02/2007
Registros en la base antivirus: 251844


Configuración del análisis
Analizar usando las siguientes basesstandard
Analizar archivosverdadero
Analizar bases de correoverdadero

Objetivo a analizarMi PC
A:\
C:\
D:\
E:\
F:\

Estadísticas
Número de objeros analizados79095
Virus encontrados1
Objetos infectados2 / 0
Objetos sospechosos0
Duración del análisis02:08:43

Bombre del objeto infectadoNombre del virusÚltima acción
C:\avenger\backup.zip/avenger/hldrrr.exe Infectados:
Trojan-Downloader.Win32.Bagle.bp saltado

C:\avenger\backup.zip ZIP: infectado - 1 saltado

C:\Documents and Settings\Iván\Configuración local\Archivos temporales de
Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Iván\Configuración local\Datos de
programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Iván\Configuración local\Datos de
programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Iván\Configuración
local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Iván\Configuración
local\Historial\History.IE5\MSHist0120070210200702 11\index.dat Object is
locked saltado

C:\Documents and Settings\Iván\Configuración
local\Historial\History.IE5\MSHist0120070211200702 12\index.dat Object is
locked saltado

C:\Documents and Settings\Iván\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Iván\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\Iván\NTUSER.DAT.LOG Object is locked saltado

C:\Documents and Settings\Iván\UserData\index.dat Object is locked saltado


C:\Documents and Settings\LocalService\Configuración local\Datos de
programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de
programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado


C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked
saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de
programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de
programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked
saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked
saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is
locked saltado

C:\System Volume
Information\_restore{9765810F-4303-4BA1-AB3F-A71C912F7C88}\RP3\change.log
Object is locked saltado

C:\WINDOWS\CSC\00000001 Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\DEFAULT.LOG Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\SOFTWARE.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\SYSTEM.LOG Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked
saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked
saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked
saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked
saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked
saltado

D:\System Volume Information\MountPointManagerRemoteDatabase Object is
locked saltado

D:\System Volume
Information\_restore{9765810F-4303-4BA1-AB3F-A71C912F7C88}\RP3\change.log
Object is locked saltado

Análisis completado.
=======================
Lo anterior me desconcertó mucho, porque el análisis me dice que el virus encontrado proviene de un archivo que descargué -siguiendo el consejo de Jean-Chrétien- justamente para solucionar un problema (la falta del registro que permite arrancar en modo a prueba de fallos).
EL Kaspersky online no ejecutó ninguna acción (parecía bloqueada la opción de "seleccionar" los archivos para repararlos o borrarlos). Según advierte la página, esto ocurre cuando se tiene algún antivirus en ejecución (¡y no tengo ninguno!) (¿o sí?).
Pue bien, manualmente BORRÉ el avenger.zip, hice un nuevo scaneo y finalmente Kaspersky no reporta ninguna infeccción:
KASPERSKY ONLINE SCANNER INFORMEKASPERSKY ONLINE SCANNER INFORME
domingo, 11 de febrero de 2007 6:30:07
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2
(Build 2600)
Kaspersky Online Scanner versión: 5.0.84.0
Ultima actualización: 11/02/2007
Registros en la base antivirus: 251844


Configuración del análisis
Analizar usando las siguientes basesstandard
Analizar archivosverdadero
Analizar bases de correoverdadero

Objetivo a analizarCarpetas
C:\RECYCLER\
C:\System Volume Information\

Estadísticas
Número de objeros analizados615
Virus encontrados0
Objetos infectados0 / 0
Objetos sospechosos0
Duración del análisis00:00:25

Bombre del objeto infectadoNombre del virusÚltima acción
C:\System Volume Information\MountPointManagerRemoteDatabase Object is
locked saltado

C:\System Volume
Information\_restore{9765810F-4303-4BA1-AB3F-A71C912F7C88}\RP3\change.log
Object is locked saltado

Análisis completado.

... sin embargo, ¿qué quiere decir estas 2 entradas reportadas como "Objet is locked"?.
==================
Todavía tengo la inquietud sobre la integridad de mi sistema. Espero comentarios. Gracias.

Hola, ivanbello

¿qué quiere decir estas 2 entradas reportadas como "Objet is locked"?

el scanner no puede abrir el archivo para analizarlo, pero no significa que este archivo esté infectado. No olvida que si tienes un duda con un archivo, puedes analizarlo en VirusTotal ;)

Elimina : Blacklight, Registry Search Tool, The Avenger, EliBagle, y la carpeta C:\avenger

Apagar Restaurar Sistema (System Restore) (http://www.forospyware.com/t68195.html#post292280)
Reinicia el pc
rehabilita el "Restaurar sistema"

pienso que ahora todo está OK. ¿Puedes confirmarlo?

Ok. La carpeta C:\avenger la eliminé en el paso anterior...
Ahora bien: Blacklight, Registry Search Tool, The Avenger, EliBagle, no quedan instalados en ninguna parte. ¿Para qué eliminarlos?.
En este momento estoy "pasando" el Ewido online. Después de eso reactivaré la restauración del sistema y saldré del modo a prueba de fallos.
¿Tienes preferencia por algún Antivirus/Firewall en particular? En este momento estoy completamente desprotegido (y toda esta historia comenzó justamente con la instalación del Bitdefender, cuando intenté "registrar" :sho: el programa).

Ultima cosa, eh olvidado esto :

Abre el bloc de notas y copia y pega el siguiente código (Cuidado : si en las tres primeras lineas ves Ru n debes reemplazarlo por Run, y si ves wuause rv debes reemplazarlo por wuauserv sin espacio) :

(
reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Run"
reg query "HKLM\Software\Microsoft\Windows\CurrentVersion\Run"
reg query "HKLM\SYSTEM\CurrentControlSet\Services\wuauserv" /v Start
reg query "HKCU\Software\FirstRuxzx" 2>NUL
if not errorlevel 1 reg query "HKCU\Software\FirstRuxzx"
) > list.txt
notepad list.txt
del list.txt

Guardalo en el escritorio con este nombre : list.bat (cuando le des a guardar, asegurate de que en "Tipo", pones "Todos los archivos").
Dale doble clic a list.bat, espere un poco y aparecerá una ventana del block de Notas con el reporte y lo pegas en este mensaje.

Ahora bien: Blacklight, Registry Search Tool, The Avenger, EliBagle, no quedan instalados en ninguna parte. ¿Para qué eliminarlos?.

son herramientas de desinfeccion puntuales, no es necesario guardarlos

¿Tienes preferencia por algún Antivirus/Firewall en particular?

personalemente, utilizo el tandem Avira Antivir / Kerio Personal Firewall

no he encontrado tutoriales en español de estas herramientas, pero, como hablas muy bien el frances :Bien: , puedes mirar aqui Antivir (http://speedweb1.free.fr/frames2.php?page=tuto5) y aqui Tutoriel configurer Kerio Personal Firewall 4 - PC Entraide (http://www.pcentraide.com/index.php?showtopic=110)

Hecho lo que me indicaste; voilà el reporte:

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
RoxioDragToDisc REG_SZ "C:\Archivos de programa\Roxio\Easy Media Creator 8\Drag to Disc\DrgToDsc.exe"
RoxWatchTray REG_SZ "C:\Archivos de programa\Archivos comunes\Roxio Shared\SharedCOM8\RoxWatchTray.exe"
DiskeeperSystray REG_SZ "C:\Archivos de programa\Diskeeper Corporation\Diskeeper\DkIcon.exe"
ISUSPM Startup REG_SZ "c:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup
ISUSScheduler REG_SZ "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start
Acrobat Assistant 7.0 REG_SZ "C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
HPDJ Taskbar Utility REG_SZ C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 9.exe
HP Component Manager REG_SZ "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"
HP Software Update REG_SZ C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
ScanRegistry REG_SZ C:\W
EM_EXEC REG_SZ C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
Adobe Photo Downloader REG_SZ "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
KernelFaultCheck REG_EXPAND_SZ %systemroot%\system32\dumprep 0 -k
AudioDeck REG_SZ C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe 1
BluetoothAuthenticationAgent REG_SZ rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
PCSuiteTrayApplication REG_SZ C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
SunJavaUpdateSched REG_SZ "C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe"
SoftickPPP REG_SZ "C:\Archivos de programa\Softick\PPP\Bin\PPPGate.exe"
PinnacleDriverCheck REG_SZ C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\wuauserv
Start REG_DWORD 0x2

Estoy revisando lo del antivirus.
Consideremos entonces cerrar este tema, porque el sujeto principal ("No arranca en modo a prueba de fallos") ya está solucionado. Si aparecieran nuevos problemas, sería "harina de otro costal".
Supongo que corresponde al moderador hacerlo.
Mil gracias.

¿puedes ver la carpeta C:\W ? si la respuesta es afirmativa ¿que encuentras dentro ?

Aunque tengo activada la opción de "mostrar archivos y carpetas ocultos", la carpeta "C:\W" aparentemente no existe. Supongo que eso es bueno. ¿Es todo?.

Elimina el archivo list.bat. Descarga y instala la ultima version de java :
Java SE Downloads (http://java.sun.com/javase/downloads/index.jsp) -> "Download" (a la derecha de "Java Runtime Environment (JRE) 6")
"Accept License Agreement"
"Windows Offline Installation, Multi-language" (jre-6-windows-i586.exe, 12.56 MB)

¿Es todo?

Si :afirmar:

A bientôt :manos:

Hola!!

A mi me esta pasando algo parecido con mi pc de sobremesa... Lo que pasa es que no se si es en el mismo tema de ivanbello donde lo tengo que decir ya que tengo los mismos problemas.... siento sino es este el sitio adecuado..y por si acaso, pues comento lo que me pasa..

El caso está en que el pc va muy lento... fui a hacer la limpieza de los 11 pasos, y empecé por desinstalar el kaspersky ya que me había caducado, a parte del Norton que no se porque razón aun seguia instalado... fue reiniciar e intentar instalar el kaspersky, cuando no se abría el fichero para instalarlo... este estaba en el incoming... me di cuenta que explorer.exe estaba casi al 100%..

comprové que cada vez que iba a la carpeta incoming, explorer se disparaba, así es que intenté copiar el ejecutable en el escritorio... una vez estando en la instalacion, me dice que los archivos kav.exe y kavsvc.exe no los encuentra, y por tanto se instala el antivirus sin esos archivos.pues así no podía ejecutarlo.... y en general, ningun exe me lo ejecutaba..

cogi de mi portatil en el disco extraible la carpeta del kaspersky, para poder copiar esos ejecutables al pc de sobremesa..mi sorpresa fue que al intentar hacerlo, los dos archivos se esfumaron..desaparecieron por arte de magia..

además, pasé el ad-ware, que este si me dejo ejecutarlo, pero solo encontro 3 espias, y no soluciono nada.... intente pasar SpyBot, pero su ejecutable tambien se esfumo, cambiando el nombre a blidman.exe...

por ultimo, quise entrar a modo de prueba de fallos...al seleccionar esa opcion, me reiniciaba el pc, solo dejandome entrar en iniciar con windows...

al final, pensé en Restaurar sistema, pero esta ventana tampoco se abría.... tengo en mente formatear, pero antes quisiera intentar salvarlo..

Y lo que tambien quisiera preguntar es si puedo serguir los mismos pasos que le estais tando a ivanbello, aunque a lo mejor no me salen los mismos resultados y en algun paso pues me pierdo, aunque de todas maneras ya he descargado todos los programas que le dijisteis a ivanbello..

Muchisimas gracias:afirmar: