Queridos Amigos: hace mucho tiempo que no me comunico con ustedes, y eso porque no he tenido problemas, pero pienso que es un poco injusto acudir a la gente solo cuando tienes un problema. Les envio este larguisimo mail para darles TODOS los datos del problema que tengo y ver si podeis ayudarme.

Fui un estupido al ejecutar un .exe que descargue de una pagina ilegal de warez y keygens y eso. Al ejecutarlo, desaparecio el icono del escritorio!
A partir de ahi se me sucedieron diversas cosas:

1) el antivirus me indico que tengo un SubSeven

2) Luego no me indico mas eso y me indico que tengo un virtumonde

3) Por ultimo descargue el VundoFix, el AVG Free Edition, el AVG antiSpyware, el DelPSGuard, el VirtumundoBeGone y el SpySweeper (este ultimo me avisa de los virus pero para eliminarlos me pide una suscripcion paga, asi que por ahora solo me avisa). Ya los he pasado varias veces, encuentran cosas diversas, algunas las eliminan y otras no. He pasado para estas el Killbox pero me aparece un anuncio que dice que no se puede borrar. (tal vez se deba a que previamente habia pasado el RegSeeker y borre muchas cosas (habia hecho backup de todo eso que borre y reestableci todo para ver si solucionaba lo del Killbox, pero no se soluciono)

Como estan las cosas ahora? la PC anda muy lentamente, el desktop cambia de color, la pagina de inicio del IExplorer cambio, etc.

EN MODO NORMAL
1) el AVG antiSpyware me dice que tengo un Trojan Agent.acl (C:\Program Files\VSAdd-in.dll). Lo pone en cuarentena y al buscar nuevamente, no aparece. Aparece en cambio el Trojan Brospy.c (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion etc etc), lo pone en cuarentena y al buscar nuevamente, no aparece. Aparece en cambio dos Virtumonde (C:\System Volume Information\_restore{ACF61A3B-23D6-4E71 etc etc termina con 2280.dll y 2203.dll) tambien lo pone en cuarentena y finalmente no aparece nada.

2) El AVG Antivirus encuentra un Trojan horse Collected 11B en la carpeta T: (temporales) (llamado jrnxbgge.dll) y lo elimina. (Ayer encontro unos trojan Downloader Zlob FC (en system32, ddccy.dll). A continuacion encuentra otro trojan Downloader Zlob FC en (C:\System Volume Information\_restore{ACF61A3B-23D6-4E71 etc etc termina con 2204.dll)

3) El vundo fix me da estos archivos
C:\Program Files\VSAdd-in\VSAdd-in.dll (ayer busque esta carpeta en los Program Files con opcion activada de mostrar archivos y carpetas ocultos, y la borre, pero sigue apareciendo en el analisis del VundoFix), C:\WINDOWS\System32\xxtnvbfl.dll y por ultimo C:\WINDOWS\System32\ddccy.dll

4) Por ultimo el SpySeeper encuentra "maxifiles" y "vs toolbar", aparentemente todo en el Registry

Al REINICIAR, tambien en MODO NORMAL,
1) el AVG antiSpyware no encuentra nada
2) El AVG Antivirus no encuentra nada
3) El vundo fix encuentra los mismos virus que antes
4) el SpySeeper encuentra los mismos virus que antes

Al REINICIAR en MODO A PRUEBA DE FALLOS (SAFE MODE)
1) el AVG antiSpyware no encuentra nada
2) El AVG Antivirus no encuentra nada
3) El vundo fix encuentra los mismos virus que antes
4) el SpySeeper encuentra "maxifiles" y "vs toolbar"
5) EL Spybot Search & Destroy, que olvide pasarlo en modo normal, encuentra, en modo safe, todo esto:

-AppWizz
-SeachToolbarCorp.Toolbar Vision
-Smitfraud-C.Toolbar888
-Spionfrei
-Virtumonde
Le di a "solucionar problemas" y eliminó todas esas entradas. Lo paso otra vez y no aparece


Por ultimo, al REINICIAR por segunda vez en MODO A PRUEBA DE FALLOS (SAFE MODE)
1) el AVG antiSpyware no encuentra nada
2) El AVG Antivirus no encuentra nada
3) El vundo fix encuentra como siempre los archivos C:\WINDOWS\System32\xxtnvbfl.dll y ddccy.dll (lo curioso es que ahora voy a esa carpeta y no se los ve por ningun lado, aun con la opcion activada de mostrar carpetas y archivos ocultos)
4) el SpySeeper SOLO ENCUENTRA "maxifiles"
5) EL Spybot Search & Destroy no encuentra nada


Aqui les transcribo el final del log del SpySweeper, correspondiente a la ultima revisacion que hizo, por ultimo el del Spybot Search & Destroy.

SpySweeper:

04:29 p.m.: Indicios encontrados: 9
04:29 p.m.: Barrido completo finalizado. Tiempo transcurrido 00:20:11
04:29 p.m.: HKU\S-1-5-21-1060284298-1770027372-1801674531-1003\software\search toolbar corp\ (ID = 1725890)
04:29 p.m.: Barrido de archivos finalizado, tiempo transcurrido: 00:18:08
04:27 p.m.: Advertencia: Failed to open file "t:\perflib_perfdata_f4.dat". The process cannot access the file because it is being used by another process
04:27 p.m.: Advertencia: SweepDirectories: Cannot find directory "r:". This directory was not added to the list of paths to be scanned.
04:27 p.m.: Advertencia: SweepDirectories: Cannot find directory "p:". This directory was not added to the list of paths to be scanned.
04:15 p.m.: Advertencia: Failed to open file "c:\documents and settings\juan\local settings\application data\microsoft\windows\usrclass.dat". The process cannot access the file because it is being used by another process
04:15 p.m.: Advertencia: Failed to open file "c:\documents and settings\juan\local settings\application data\microsoft\windows\usrclass.dat.log". The process cannot access the file because it is being used by another process
04:15 p.m.: Advertencia: Failed to open file "c:\documents and settings\juan\ntuser.dat.log". The process cannot access the file because it is being used by another process
04:15 p.m.: Advertencia: Failed to open file "c:\documents and settings\juan\ntuser.dat". The process cannot access the file because it is being used by another process
04:15 p.m.: Advertencia: Failed to open file "c:\documents and settings\localservice\application data\webroot\spy sweeper\data\settings.dat". The process cannot access the file because it is being used by another process
04:15 p.m.: Advertencia: Failed to open file "c:\documents and settings\localservice\local settings\application data\microsoft\windows\usrclass.dat". The process cannot access the file because it is being used by another process
04:15 p.m.: Advertencia: Failed to open file "c:\documents and settings\localservice\local settings\application data\microsoft\windows\usrclass.dat.log". The process cannot access the file because it is being used by another process
04:15 p.m.: Advertencia: Failed to open file "c:\documents and settings\localservice\ntuser.dat". The process cannot access the file because it is being used by another process
04:15 p.m.: Advertencia: Failed to open file "c:\documents and settings\localservice\ntuser.dat.log". The process cannot access the file because it is being used by another process
04:15 p.m.: Advertencia: Failed to open file "c:\documents and settings\networkservice\local settings\application data\microsoft\windows\usrclass.dat". The process cannot access the file because it is being used by another process
04:15 p.m.: Advertencia: Failed to open file "c:\documents and settings\networkservice\local settings\application data\microsoft\windows\usrclass.dat.log". The process cannot access the file because it is being used by another process
04:15 p.m.: Advertencia: Failed to open file "c:\documents and settings\networkservice\ntuser.dat". The process cannot access the file because it is being used by another process
04:15 p.m.: Advertencia: Failed to open file "c:\documents and settings\networkservice\ntuser.dat.log". The process cannot access the file because it is being used by another process
04:12 p.m.: Advertencia: Failed to open file "c:\windows\system32\config\sam". The process cannot access the file because it is being used by another process
04:12 p.m.: Advertencia: Failed to open file "c:\windows\system32\config\security". The process cannot access the file because it is being used by another process
04:12 p.m.: Advertencia: Failed to open file "c:\windows\system32\config\security.log". The process cannot access the file because it is being used by another process
04:12 p.m.: Advertencia: Failed to open file "c:\windows\system32\config\sam.log". The process cannot access the file because it is being used by another process
04:12 p.m.: Advertencia: Failed to open file "c:\windows\system32\config\default". The process cannot access the file because it is being used by another process
04:12 p.m.: Advertencia: Failed to open file "c:\windows\system32\config\software". The process cannot access the file because it is being used by another process
04:12 p.m.: Advertencia: Failed to open file "c:\windows\system32\config\default.log". The process cannot access the file because it is being used by another process
04:12 p.m.: Advertencia: Failed to open file "c:\windows\system32\config\software.log". The process cannot access the file because it is being used by another process
04:12 p.m.: Advertencia: Failed to open file "c:\windows\system32\config\system.log". The process cannot access the file because it is being used by another process
04:12 p.m.: Advertencia: Failed to open file "c:\windows\system32\config\system". The process cannot access the file because it is being used by another process
04:11 p.m.: Iniciando barrido de archivos
04:11 p.m.: Advertencia: SweepDirectories: Cannot find directory "a:". This directory was not added to the list of paths to be scanned.
04:11 p.m.: Barrido de cookies finalizado, tiempo transcurrido: 00:00:00
04:11 p.m.: Iniciando barrido de cookies
04:11 p.m.: Barrido de registro finalizado, tiempo transcurrido:00:00:21
04:11 p.m.: HKLM\software\classes\clsid\{74dd705d-6834-439c-a735-a6dbe2677452}\ (ID = 1947346)
04:11 p.m.: HKLM\software\classes\clsid\{46a4e9d9-b30e-452a-8157-dbbec8573b03}\ (ID = 1947345)
04:11 p.m.: HKCR\clsid\{74dd705d-6834-439c-a735-a6dbe2677452}\ (ID = 1947344)
04:11 p.m.: HKCR\clsid\{46a4e9d9-b30e-452a-8157-dbbec8573b03}\ (ID = 1947343)
04:11 p.m.: HKLM\software\microsoft\windows\currentversion\uni nstall\{74dd705d-6834-439c-a735-a6dbe2677452}\ (ID = 1846691)
04:11 p.m.: HKLM\software\microsoft\internet explorer\toolbar\ || {74dd705d-6834-439c-a735-a6dbe2677452} (ID = 1846689)
04:11 p.m.: HKLM\software\microsoft\windows\currentversion\exp lorer\browser helper objects\{46a4e9d9-b30e-452a-8157-dbbec8573b03}\ (ID = 1827647)
04:11 p.m.: Encontrado Adware: vs toolbar
04:11 p.m.: HKLM\software\microsoft\juan\ (ID = 1781228)
04:11 p.m.: Encontrado Adware: maxifiles
04:11 p.m.: Iniciando barrido de registro
04:11 p.m.: Barrido de memoria finalizado, tiempo transcurrido: 00:01:29
04:09 p.m.: Iniciando barrido de memoria
04:09 p.m.: Barrido iniciado utilizando la versión de las definiciones 866
04:09 p.m.: Spy Sweeper 5.3.1.2344 iniciado
04:09 p.m.: | Inicio de sesión, Martes, 27 de Febrero de 2007 |





Aqui va el del Spybot

--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2006-01-20 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2007-01-15 advcheck.dll (1.2.1.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2007-01-02 Tools.dll (2.0.1.0)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2007-02-21 Includes\Cookies.sbi (*)
2006-12-08 Includes\Dialer.sbi (*)
2007-02-21 Includes\DialerC.sbi (*)
2007-02-07 Includes\Hijackers.sbi (*)
2007-02-21 Includes\HijackersC.sbi (*)
2006-10-27 Includes\Keyloggers.sbi (*)
2007-02-21 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2007-02-14 Includes\Malware.sbi (*)
2007-02-21 Includes\MalwareC.sbi (*)
2007-01-19 Includes\PUPS.sbi (*)
2007-02-21 Includes\PUPSC.sbi (*)
2007-02-21 Includes\Revision.sbi (*)
2006-12-08 Includes\Security.sbi (*)
2007-02-21 Includes\SecurityC.sbi (*)
2007-02-02 Includes\Spybots.sbi (*)
2007-02-21 Includes\SpybotsC.sbi (*)
2005-02-17 Includes\Tracks.uti
2007-02-14 Includes\Trojans.sbi (*)
2007-02-21 Includes\TrojansC.sbi (*)




Bueno, perdonen lo largo de este mail. Pero queria ser lo mas exacto posible y no olvidar nada. Que les parece que pueda yo hacer??? Ahora mismo tengo miedo de que mientras me conecto a internet para enviarles este mail, esten entrando virus nuevos!!!!
Miles de gracias por su ayuda


Mohabe

Primero que todo pongamosle un poco de orden a este tema y realiza los siguientes pasos al pie de la letra para poder saber a ciencia cierta el estado de tu PC:

**Nota 1 **
Antes de proceder con los pasos para eliminar spyware, desinstale programas como: MSN Plus, KaZaA, Imesh, o cualquier otro que se encuentre en estas listas: "Lista 1" (http://www.forospyware.com/t5.html) - "Lista 2" (http://www.forospyware.com/t7.html)

**Nota 2 **
Actualizar el SO y el Internet Explorer desde Windows Update (http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=es-es&&thankspage=5). (ESTRICTAMENTE NECESARIO).

O desde aca si tu Windows no es original: WilkinsonPC - Recursos Gratuitos - Programas - Seguridad - Parches, Service Pack's y Actualizaciones de Windows 98/SE/ME/2000/XP (http://www.wilkinsonpc.com.co/free/actualizaciones-parches-para-windows.html)

Los pasos fundamentales de una buena eliminación son:

:1:- Descarga y/o actualiza las principales herramientas antispyware como:

AVG Anti-Spyware 7.5 (http://www.infospyware.com/Anti-Spywares.htm) + Manual AVG Anti-spyware 7.5 (http://www.forospyware.com/t56029.html), DelPSGuard (http://www.forospyware.com/t4239.html#post17701)(esta al final del post) +Manual DelPSGuard (http://www.forospyware.com/t43227.html) y VundoFix.exe (http://www.atribune.org/ccount/click.php?id=4).

Y las herramientas para mantener limpio el PC como:
Disk Cleaner + Manual (http://www.forospyware.com/t61924.html)
RegSeeker + Manual (http://www.forospyware.com/t713.html)

:2:- Apaga el "Restaurar Sistema" (System Restore) (http://www.forospyware.com/t68195.html#post292280) (solo en Win ME y XP) y activar la opción Ver archivos ocultos (http://www.forospyware.com/t68195.html#post292280).

:3:- Inicia el sistema en "Modo a Prueba de Fallos" (modo seguro) (http://www.forospyware.com/t68195.html#post292280)

a)-Ejecuta el DelPSGuard como lo indica su Manual (http://www.forospyware.com/t43227.html). Recuerda guardar el reporte para pegarlo aca mismo.

b)-Ejecuta el VundoFix.exe (http://www.atribune.org/ccount/click.php?id=4). *Nota* Para ejecutar la herramienta VundoFix.exe sigua estos pasos
Hacer Doble-click al archivo VundoFix.exe para activarlo.
Marque la casilla - "Run VundoFix as a task".
Recibirá un mensaje que dice que el programa se cerrara y que abrira nuevamente en un minuto o menos. Déle ACEPTAR.
Cuando VundoFix abre nuevamente, presione el botón "Scan for Vundo"
Una vez que termina la exploración, presione el botón "Remove Vundo"
Recibirá un mensaje preguntado si desea quitar los archivos y ponerle YES
Una vez presionado YES su escritorio parpadeara en blanco ya que esta quitando el parasito.
Cuando termina presionar en OK para reiniciar el equipo en modo normal.


:4:-Una vez en modo normal ejecuta el AVG Anti-Spyware 7.5 (http://www.infospyware.com/Anti-Spywares.htm) previamente actualizado y elimina lo que este encuentre. (Elimina todas las cuarentenas y vacia la papelera de reciclaje).

:5:-Utiliza " Disk Cleaner " para limpiar cookies y temporales. Pasar el RegSeeker para limpiar el registro, pásalo varias veces hasta que ya no te salga nada.

:6:-Pasale este Antivirus Online: Panda ActiveScan (http://www.infospyware.com/Anti-Virus/Panda/) + Manual de Panda ActiveScan Online (http://www.forospyware.com/t75446.html) y guardas el reporte.

:7:-Pega el reporte que te genero el DelPSGuard y el Panda ActiveScan para revisarlos.

**Nota**

1)-Pega los reportes del DelPSGuard y el Panda ActiveScan desde el comienzo.
2)-Lee detenidamente los manuales.
3)-Para mayor comodidad imprime los pasos.
:feca: