Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Saludos. Lástima que mi primer mensaje sea éste, pero bueno.

Ayer empecé a notar que iba lento internet, para variar, y me fijé en el router, y sin que estuviera navegando ni nada, las luces parpadeaban, eso me mosqueó bastante, como si alguien estuviera utilizando mi ancho de banda. Al final, después de mirar bastante por internet, ya sé lo que pasó.
Me enviaron el típico mail de "Un familiar te ha enviado una postal..etc.." y había un link, y piqué como un pardillo. Éste es el mensaje:

Hi. Family member has sent you a postcard.
See your card as often as you wish during the next 15 days.

SEEING YOUR CARD

If your email software creates links to Web pages, click on your card's direct www address below while you are connected to the Internet:

http://75.52.95.33/?e5ee713076a3db573383 (NO PULSÉIS AQUÍ!!!!!!!!!)

Or copy and paste it into your browser's "Location" box (where Internet addresses go).

We hope you enjoy your awesome card.

Wishing you the best,
Mail Delivery System,
freewebcards.com

Cuando apareció rápidamente la ventana ms-dos, ya era tarde.

Total que creo que estoy infectado con el SPOOLDR.EXE
He intentado eliminarlo y he hecho lo siguiente:

Buscar dicho archivo en Windows--->no me aparece
Limpié con el search and destroy--->cookies del Mozilla
Limpiar dicho archivo del registro----> busqué por SPOOLDR y me salieron 2 entradas que borré
Firewall de Windows--->aquí es donde me encayo no puedo solucionarlo, os lo explico.

El Firewall está activado con excepciones, una de ellas se llama "enable" (que ha aparecido por obra divina...ya que antes no estaba allí) y al darle a modificar sale "C:\WINDOWS\spooldr.exe" (donde no encuentro ese archivo) , ok, lo desactivo, lo elimino de las excepciones y reinicio el pc, pero siempre me vuelve a aparecer...aunque ponga sin excepciones siempre me sale. Yo creo que se me ha camuflado con otro nombre por algún lado y no soy capaz de verlo.

Otra cosa curiosa es que siempre que entraba en Windows Xp, entraba directo, después de infectarme me ponía que entrara bajo el administrador "PC", cosa que también me mosqueó, así que me fui a cuentas y allí, aparecía otra cuenta con un nombre muy raro, tipo ATN.NET no se qué...o algo así...deshabilité esa cuenta y ahora el ordenador inicia normal, pero sigue pasando lo de la excepción.

Agradecería enormemente que alguien me pudiera echar un cable con ésto, ya que en el pasado he conseguido eliminar cosillas en otros pc´s, pero ésta se me está resistiendo mucho. No se si tengo que publicar algún log o algo así.

No creo que sea un virus muy nocivo, pero claro, el que me consuma ancho de banda, pues hace que me vaya al 50% internet

Gracias de antemano.

Hola

Usa CCleaner para limpiar cookies y temporales.

Haz un escaneo online con:

• Ewido con la opción Remove Infections activada (lee el Manual) <-- Elimina todo lo que encuentre
• Karpersky (lee el Manual)

Y pegas aquí el reporte que te genere el Karpersky

Salu2

Gracias por la info Claw, de los discos duros E, F y G ni caso, son antiguos y los tengo solo porque tengo que recuperar algunos datos, pero si hay algo de windows es antiguo y no lo uso, creo que el meollo está en C:

Gracias

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
domingo, 29 de julio de 2007 22:03:02
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.0
Ultima actualización: 29/07/2007
Registros en la base antivirus: 369347
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: estendidas
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
A:\
C:\
D:\
E:\
F:\
G:\
H:\

Estadísticas:
Número de objeros analizados: 241457
Virus encontrados: 30
Objetos infectados: 92 / 0
Objetos sospechosos: 0
Duración del análisis: 02:29:38

Bombre del objeto infectado / Nombre del virus / Última acción
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe Infectados: Virus.Win32.Agent.ab saltado
C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe Infectados: Virus.Win32.Agent.ab saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\PC\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\PC\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\PC\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\PC\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\kabojm6d.default \Cache\_CACHE_001_ Object is locked saltado
C:\Documents and Settings\PC\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\kabojm6d.default \Cache\_CACHE_002_ Object is locked saltado
C:\Documents and Settings\PC\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\kabojm6d.default \Cache\_CACHE_003_ Object is locked saltado
C:\Documents and Settings\PC\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\kabojm6d.default \Cache\_CACHE_MAP_ Object is locked saltado
C:\Documents and Settings\PC\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\PC\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\PC\Datos de programa\Mozilla\Firefox\Profiles\kabojm6d.default \cert8.db Object is locked saltado
C:\Documents and Settings\PC\Datos de programa\Mozilla\Firefox\Profiles\kabojm6d.default \history.dat Object is locked saltado
C:\Documents and Settings\PC\Datos de programa\Mozilla\Firefox\Profiles\kabojm6d.default \key3.db Object is locked saltado
C:\Documents and Settings\PC\Datos de programa\Mozilla\Firefox\Profiles\kabojm6d.default \parent.lock Object is locked saltado
C:\Documents and Settings\PC\Datos de programa\Mozilla\Firefox\Profiles\kabojm6d.default \search.sqlite Object is locked saltado
C:\Documents and Settings\PC\Datos de programa\Mozilla\Firefox\Profiles\kabojm6d.default \urlclassifier2.sqlite Object is locked saltado
C:\Documents and Settings\PC\Mis documentos\My Downloads\LOTRO_EU_Trial_Lo.zip Object is locked saltado
C:\Documents and Settings\PC\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\PC\ntuser.dat.LOG Object is locked saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\System Volume Information\_restore{FE1F02B6-E9A4-4F07-9FBB-84E990BA564C}\RP96\A0027594.exe Infectados: Packed.Win32.Tibs.ay saltado
C:\System Volume Information\_restore{FE1F02B6-E9A4-4F07-9FBB-84E990BA564C}\RP97\A0028545.sys Infectados: Packed.Win32.Tibs.ap saltado
C:\System Volume Information\_restore{FE1F02B6-E9A4-4F07-9FBB-84E990BA564C}\RP97\A0028546.sys Infectados: Trojan.Win32.Patched.ad saltado
C:\System Volume Information\_restore{FE1F02B6-E9A4-4F07-9FBB-84E990BA564C}\RP97\A0028548.sys Infectados: Trojan.Win32.Patched.ad saltado
C:\System Volume Information\_restore{FE1F02B6-E9A4-4F07-9FBB-84E990BA564C}\RP97\A0029545.sys Infectados: Packed.Win32.Tibs.ap saltado
C:\System Volume Information\_restore{FE1F02B6-E9A4-4F07-9FBB-84E990BA564C}\RP97\A0029546.sys Infectados: Trojan.Win32.Patched.ad saltado
C:\System Volume Information\_restore{FE1F02B6-E9A4-4F07-9FBB-84E990BA564C}\RP97\A0029548.sys Infectados: Trojan.Win32.Patched.ad saltado
C:\System Volume Information\_restore{FE1F02B6-E9A4-4F07-9FBB-84E990BA564C}\RP97\A0030546.sys Infectados: Packed.Win32.Tibs.ap saltado
C:\System Volume Information\_restore{FE1F02B6-E9A4-4F07-9FBB-84E990BA564C}\RP97\A0030547.sys Infectados: Trojan.Win32.Patched.ad saltado
C:\System Volume Information\_restore{FE1F02B6-E9A4-4F07-9FBB-84E990BA564C}\RP97\A0030548.sys Infectados: Trojan.Win32.Patched.ad saltado
C:\System Volume Information\_restore{FE1F02B6-E9A4-4F07-9FBB-84E990BA564C}\RP98\A0031545.sys Infectados: Packed.Win32.Tibs.ap saltado
C:\System Volume Information\_restore{FE1F02B6-E9A4-4F07-9FBB-84E990BA564C}\RP98\A0031546.sys Infectados: Trojan.Win32.Patched.ad saltado
C:\System Volume Information\_restore{FE1F02B6-E9A4-4F07-9FBB-84E990BA564C}\RP98\A0031547.sys Infectados: Trojan.Win32.Patched.ad saltado
C:\System Volume Information\_restore{FE1F02B6-E9A4-4F07-9FBB-84E990BA564C}\RP98\A0032545.sys Infectados: Packed.Win32.Tibs.ap saltado
C:\System Volume Information\_restore{FE1F02B6-E9A4-4F07-9FBB-84E990BA564C}\RP98\A0032546.sys Infectados: Trojan.Win32.Patched.ad saltado
C:\System Volume Information\_restore{FE1F02B6-E9A4-4F07-9FBB-84E990BA564C}\RP98\A0032547.sys Infectados: Trojan.Win32.Patched.ad saltado
C:\System Volume Information\_restore{FE1F02B6-E9A4-4F07-9FBB-84E990BA564C}\RP98\A0033546.sys Infectados: Packed.Win32.Tibs.ap saltado
C:\System Volume Information\_restore{FE1F02B6-E9A4-4F07-9FBB-84E990BA564C}\RP98\A0033547.sys Infectados: Trojan.Win32.Patched.ad saltado
C:\System Volume Information\_restore{FE1F02B6-E9A4-4F07-9FBB-84E990BA564C}\RP98\A0033548.sys Infectados: Trojan.Win32.Patched.ad saltado
C:\System Volume Information\_restore{FE1F02B6-E9A4-4F07-9FBB-84E990BA564C}\RP98\A0034545.sys Infectados: Packed.Win32.Tibs.ap saltado
C:\System Volume Information\_restore{FE1F02B6-E9A4-4F07-9FBB-84E990BA564C}\RP98\A0034547.sys Infectados: Trojan.Win32.Patched.ad saltado
C:\System Volume Information\_restore{FE1F02B6-E9A4-4F07-9FBB-84E990BA564C}\RP98\A0034548.sys Infectados: Trojan.Win32.Patched.ad saltado
C:\System Volume Information\_restore{FE1F02B6-E9A4-4F07-9FBB-84E990BA564C}\RP99\A0034628.exe Infectados: Backdoor.Win32.VB.kb saltado
C:\System Volume Information\_restore{FE1F02B6-E9A4-4F07-9FBB-84E990BA564C}\RP99\change.log Object is locked saltado
C:\WINDOWS\CSC\00000001 Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\config\ACEEvent.evt Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\dllcache\tcpip.sys Infectados: Trojan.Win32.Patched.ad saltado
C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado
C:\WINDOWS\{00000001-00000000-00000001-00001102-00000004-00511102}.CDF Object is locked saltado
E:\Archivos de programa\Electronic Arts\La Batalla por la Tierra Media II\W3D.big Object is locked saltado
E:\Archivos de programa\GlobalSCAPE\CuteFTP\CTInstall.exe Infectados: not-a-virus:AdWare.Win32.TimeSink saltado
E:\Documents and Settings\All Users\Datos de programa\Microsoft\Dr Watson\user.dmp Object is locked saltado
E:\Documents and Settings\Mario\Configuración local\Archivos temporales de Internet\Content.IE5\U5WV6X2T\burnobc[1].txt Infectados: Trojan-Clicker.Win32.Costrat.af saltado
E:\Documents and Settings\Mario\Escritorio\MODS Oblivion\Oblivion_Make_it_Pretty_Pack.zip Object is locked saltado
E:\Documents and Settings\Mario\Escritorio\Musica\Symphony X - Elysee montmartre 2003\AVSEQ01.mpg Object is locked saltado
E:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\AJCL0N27\rbluvs[1].htm Infectados: not-virus:Hoax.Win32.Renos.gc saltado
E:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\AJCL0N27\secure32[1].htm Infectados: Trojan.Win32.Harnig.a saltado
E:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\KDERC9QB\iolyzwj[1].htm Infectados: Trojan.Win32.Pakes saltado
E:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\S92F896Z\burnobc[1].txt Infectados: Trojan-Clicker.Win32.Costrat.z saltado
E:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\S92F896Z\istdownload[1].exe Infectados: Trojan-Downloader.Win32.IstBar.pn saltado
E:\POWERD4Works\Editado1.avi Object is locked saltado
E:\Prince Of Persia The Two Thrones [DVD][Spanish_EN_GE_FR_IT][www-pctorrent.com]\mir-popt2t\MIR-POPT2T.mdf Object is locked saltado
E:\Program Files\mIRC\mirc.exe Infectados: not-a-virus:Client-IRC.Win32.mIRC.617 saltado
E:\rec_musica\[11E2A3]\DUMP6dcd.tmp Object is locked saltado
E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP180\A0060959.rbf Object is locked saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP180\A0060960.rbf Object is locked saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP180\A0060961.rbf Object is locked saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0066610.exe/irsetup.dat Infectados: Trojan-Dropper.Win32.Peerad.a saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0066610.exe SetupFactory: infectado - 1 saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0066611.exe/irsetup.dat Infectados: Trojan-Dropper.Win32.Peerad.a saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0066611.exe SetupFactory: infectado - 1 saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0066612.exe/irsetup.dat Infectados: Trojan-Dropper.Win32.Peerad.a saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0066612.exe SetupFactory: infectado - 1 saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0066613.exe/irsetup.dat Infectados: Trojan-Dropper.Win32.Peerad.a saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0066613.exe SetupFactory: infectado - 1 saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0066614.exe/irsetup.dat Infectados: Trojan-Dropper.Win32.Peerad.a saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0066614.exe SetupFactory: infectado - 1 saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0066616.exe/irsetup.dat Infectados: Trojan-Dropper.Win32.Peerad.a saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0066616.exe SetupFactory: infectado - 1 saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0066617.exe/irsetup.dat Infectados: Trojan-Dropper.Win32.Peerad.a saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0066617.exe SetupFactory: infectado - 1 saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0066618.exe/irsetup.dat Infectados: Trojan-Dropper.Win32.Peerad.a saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0066618.exe SetupFactory: infectado - 1 saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067687.exe Infectados: Trojan-Downloader.Win32.Small.dui saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067688.exe Infectados: Trojan-Downloader.Win32.Small.dui saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067693.exe Infectados: Trojan.Win32.Pakes saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067695.dll Infectados: Trojan-Downloader.Win32.Busky.s saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067697.exe Infectados: not-virus:Hoax.Win32.Renos.gc saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067699.exe Infectados: Trojan-Downloader.Win32.Small.dgk saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067706.exe Infectados: Trojan-PSW.Win32.Nilage.aeh saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067708.exe Infectados: Trojan-Downloader.Win32.VB.alt saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067710.exe Infectados: Trojan-Downloader.Win32.IstBar.pm saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067711.exe/irsetup.dat Infectados: P2P-Worm.Win32.Padonak.a saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067711.exe SetupFactory: infectado - 1 saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067712.dll Infectados: Trojan.Win32.Obfuscated.ev saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067713.exe Infectados: Trojan-Downloader.Win32.Small.edu saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067714.exe Infectados: Trojan-Downloader.Win32.Small.dgk saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067715.exe Infectados: not-a-virus:Porn-Dialer.Win32.GBDialer.i saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067733.dll Infectados: not-a-virus:FraudTool.Win32.SpySheriff.a saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067734.dll Infectados: not-a-virus:FraudTool.Win32.SpySheriff.a saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067735.dll Infectados: not-a-virus:FraudTool.Win32.SpySheriff.a saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067736.dll Infectados: not-a-virus:FraudTool.Win32.SpySheriff.a saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067737.exe Infectados: not-a-virus:FraudTool.Win32.SpySheriff.a saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067741.dll Infectados: Trojan.Win32.Obfuscated.ev saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067758.exe/irsetup.dat Infectados: Trojan-Dropper.Win32.Peerad.a saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067758.exe SetupFactory: infectado - 1 saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067759.exe/irsetup.dat Infectados: Trojan-Dropper.Win32.Peerad.a saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067759.exe SetupFactory: infectado - 1 saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067760.exe/irsetup.dat Infectados: Trojan-Dropper.Win32.Peerad.a saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067760.exe SetupFactory: infectado - 1 saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067761.exe Infectados: Trojan-Downloader.Win32.VB.alt saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067762.exe Infectados: Trojan-Downloader.Win32.IstBar.pn saltado
E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067763.exe Infectados: Trojan-Downloader.Win32.Agent.azn saltado
E:\System Volume Information\_restore{FE1F02B6-E9A4-4F07-9FBB-84E990BA564C}\RP99\change.log Object is locked saltado
E:\Toca.Race.Driver.3.SFCloneDVD-MiRROR\mir-toca3\RACEDRIVER3.mdf Object is locked saltado
E:\WINDOWS\ie.exe Infectados: Trojan-Downloader.Win32.Agent.azn saltado
E:\WINDOWS\system32\interf.tlb Infectados: Trojan-Downloader.Win32.Zlob.lt saltado
E:\WINDOWS\system32\ipv6monr.dll Infectados: Trojan-Spy.Win32.Goldun.lw saltado
E:\WINDOWS\system32\ipv6mons.dll Infectados: Trojan-Spy.Win32.Goldun.lw saltado
E:\WINDOWS\system32\secures7.exe Infectados: Trojan.Win32.Pakes saltado
E:\WINDOWS\system32\wunauclt.exe/irsetup.dat Infectados: P2P-Worm.Win32.Padonak.a saltado
E:\WINDOWS\system32\wunauclt.exe SetupFactory: infectado - 1 saltado
E:\WINDOWS\us2installer2.8.49.exe Infectados: Trojan-Spy.Win32.Goldun.lw saltado
E:\WINDOWS\user32.exe Infectados: Trojan-Downloader.Win32.Small.edx saltado
E:\ymnbxveg.exe Infectados: Trojan-Clicker.Win32.Costrat.af saltado
F:\Archivos de programa\Kazaa\PerfectNavUninstall.exe/data0003 Infectados: Trojan-Downloader.Win32.Keenval.f saltado
F:\Archivos de programa\Kazaa\PerfectNavUninstall.exe NSIS: infectado - 1 saltado
F:\System Volume Information\_restore{FE1F02B6-E9A4-4F07-9FBB-84E990BA564C}\RP99\change.log Object is locked saltado
G:\System Volume Information\_restore{FE1F02B6-E9A4-4F07-9FBB-84E990BA564C}\RP99\change.log Object is locked saltado

Análisis completado.

Estoy cerca de poder eliminarlo. He desactivado restaurar sistema, porque parece que el archivo se copia cada vez que reinicio, he vuelto a limpiar el registro así como bloquear dicha excepción en el firewall, lo curioso es que después de realizar esto, a los 2 minutos el firewall me ha alertado de que si quería seguir bloqueando "spooldr" con lo que sólo me queda encontrar el dichoso .exe que genera todo ésto, pero no hay manera, debe estar camuflado con otro nombre y no con "spooldr.exe"

Saludos

Hola. Haz lo siguiente

Descarga y/o actualiza los siguientes programas:

• SpyBot S&D
• SuperAntispyware

Apaga el Restaurar Sistema

Pasa los programas del paso 1 y elimina todo lo que encuentren

Sube estos archivos a VirusTotal y pegas aquí sus reportes:

• C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
• C:\WINDOWS\system32\dllcache\tcpip.sys
• E:\WINDOWS\ie.exe
• E:\WINDOWS\system32\wunauclt.exe
• E:\WINDOWS\us2installer2.8.49.exe

Elimina estos archivos:

• E:\ymnbxveg.exe
• E:\WINDOWS\system32\secures7.exe
• E:\WINDOWS\system32\ipv6monr.dll
• E:\WINDOWS\system32\ipv6mons.dll
• E:\WINDOWS\system32\interf.tlb
• E:\WINDOWS\user32.exe

Haz un escaneo online con el Panda Active Scan y pegas aquí el reporte que genere

Vuelve a activar Restaurar Sistema

Salu2

Hola Claw, mil gracias otra vez por la ayuda.

He seguido todos los pasos que me has dicho, excepto el de ejecutar SuperAntispyware, dado que cuando se inicia, a los pocos minutos me reinicia el pc, no sé porqué.

REPORTES VIRUS TOTAL

Análisis del archivo NeroCheck.exe

Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2007.7.31.1 2007.07.31 -
AntiVir 7.4.0.54 2007.07.31 HEUR/Malware
Authentium 4.93.8 2007.07.30 -
Avast 4.7.997.0 2007.07.30 -
AVG 7.5.0.476 2007.07.30 Win32/PEPatch
BitDefender 7.2 2007.07.31 Win32.Cuter.A
CAT-QuickHeal 9.00 2007.07.30 -
ClamAV 0.91 2007.07.31 W32.Cuter
DrWeb 4.33 2007.07.31 -
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5019 2007.07.31 -
Ewido 4.0 2007.07.31 -
FileAdvisor 1 2007.07.31 -
Fortinet 2.91.0.0 2007.07.31 -
F-Prot 4.3.2.48 2007.07.30 -
F-Secure 6.70.13030.0 2007.07.31 Virus.Win32.Agent.ab
Ikarus T3.1.1.8 2007.07.31 -
Kaspersky 4.0.2.24 2007.07.31 Virus.Win32.Agent.ab
McAfee 5086 2007.07.30 W32/Resourcer
Microsoft 1.2704 2007.07.31 -
NOD32v2 2429 2007.07.30 Win32/Agent.AB
Norman 5.80.02 2007.07.31 -
Panda 9.0.0.4 2007.07.31 -
Rising 19.34.12.00 2007.07.31 Virus.Win32.Agent.b
Sophos 4.19.0 2007.07.26 -
Sunbelt 2.2.907.0 2007.07.31 VIPRE.Suspicious
Symantec 10 2007.07.31 -
TheHacker 6.1.7.159 2007.07.31 -
VBA32 3.12.2.2 2007.07.30 -
VirusBuster 4.3.26:9 2007.07.30 -
Webwasher-Gateway 6.0.1 2007.07.31 Heuristic.Malware




Análisis del archivo tcpip.sys


Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2007.7.31.1 2007.07.31 -
AntiVir 7.4.0.54 2007.07.31 -
Authentium 4.93.8 2007.07.30 -
Avast 4.7.997.0 2007.07.30 -
AVG 7.5.0.476 2007.07.30 -
BitDefender 7.2 2007.07.31 Trojan.Patched.W
CAT-QuickHeal 9.00 2007.07.30 -
ClamAV 0.91 2007.07.31 -
DrWeb 4.33 2007.07.31 BackDoor.Groan
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5019 2007.07.31 -
Ewido 4.0 2007.07.31 -
FileAdvisor 1 2007.07.31 -
Fortinet 2.91.0.0 2007.07.31 -
F-Prot 4.3.2.48 2007.07.30 -
F-Secure 6.70.13030.0 2007.07.31 Trojan.Win32.Patched.ad
Ikarus T3.1.1.8 2007.07.31 Virus.Win32.Sploder.a
Kaspersky 4.0.2.24 2007.07.31 Trojan.Win32.Patched.ad
McAfee 5086 2007.07.30 -
Microsoft 1.2704 2007.07.31 -
NOD32v2 2429 2007.07.30 -
Norman 5.80.02 2007.07.31 -
Panda 9.0.0.4 2007.07.31 -
Prevx1 V2 2007.07.31 -
Rising 19.34.12.00 2007.07.31 -
Sophos 4.19.0 2007.07.26 Troj/Dorf-M
Sunbelt 2.2.907.0 2007.07.31 VIPRE.Suspicious
Symantec 10 2007.07.31 -
TheHacker 6.1.7.159 2007.07.31 -
VBA32 3.12.2.2 2007.07.30 -
VirusBuster 4.3.26:9 2007.07.30 Trojan.TibsPatched.A
Webwasher-Gateway 6.0.1 2007.07.31 -



Análisis del archivo ie.exe

Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2007.7.31.1 2007.07.31 Win-Trojan/Agent.8080
AntiVir 7.4.0.54 2007.07.31 TR/Delphi.Downloader.Gen
Authentium 4.93.8 2007.07.30 W32/Backdoor.OKB
Avast 4.7.997.0 2007.07.30 Win32:Trojan-gen. {Other}
AVG 7.5.0.476 2007.07.30 Downloader.Agent.GNR
BitDefender 7.2 2007.07.31 Trojan.Downloader.Agent.AZN
CAT-QuickHeal 9.00 2007.07.31 TrojanDownloader.Agent.azn
ClamAV 0.91 2007.07.31 -
DrWeb 4.33 2007.07.31 -
eSafe 7.0.15.0 2007.07.31 Win32.Renos.ex
eTrust-Vet 31.1.5019 2007.07.31 -
Ewido 4.0 2007.07.31 Downloader.Agent.azn
FileAdvisor 1 2007.07.31 -
Fortinet 2.91.0.0 2007.07.31 W32/Agent.ESM!tr
F-Prot 4.3.2.48 2007.07.30 W32/Backdoor.OKB
F-Secure 6.70.13030.0 2007.07.31 Trojan-Downloader.Win32.Agent.azn
Ikarus T3.1.1.8 2007.07.31 Trojan-Downloader.Win32.Zlob.and
Kaspersky 4.0.2.24 2007.07.31 Trojan-Downloader.Win32.Agent.azn
McAfee 5086 2007.07.30 New Malware.aj
Microsoft 1.2704 2007.07.31 TrojanDownloader:Win32/Agenttiny
NOD32v2 2429 2007.07.30 Win32/TrojanDownloader.Agent.AZN
Norman 5.80.02 2007.07.31 W32/Agent.APCO
Panda 9.0.0.4 2007.07.31 Trj/Downloader.MDW
Rising 19.34.12.00 2007.07.31 Trojan.DL.Agent.ydl
Sophos 4.19.0 2007.07.26 Mal/Heuri-D
Sunbelt 2.2.907.0 2007.07.31 Trojan-Downloader.Gen
Symantec 10 2007.07.31 Downloader
TheHacker 6.1.7.159 2007.07.31 -
VBA32 3.12.2.2 2007.07.30 Trojan-Downloader.Win32.Agent.azn
VirusBuster 4.3.26:9 2007.07.30 Trojan.DL.Agent.QNW
Webwasher-Gateway 6.0.1 2007.07.31 Trojan.Delphi.Downloader.Gen


Análisis del archivo wunauclt.exe

Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2007.7.31.1 2007.07.31 -
AntiVir 7.4.0.54 2007.07.31 DR/Padonak.A
Authentium 4.93.8 2007.07.30 -
Avast 4.7.997.0 2007.07.30 Win32:Trojan-gen. {VC}
AVG 7.5.0.476 2007.07.30 Collected.10.AI
BitDefender 7.2 2007.07.31 -
CAT-QuickHeal 9.00 2007.07.31 -
ClamAV 0.91 2007.07.31 -
DrWeb 4.33 2007.07.31 Trojan.AVKill.248
eSafe 7.0.15.0 2007.07.31 P2P-Win32.Padonak.a
eTrust-Vet 31.1.5019 2007.07.31 -
Ewido 4.0 2007.07.31 Worm.Padonak.a
FileAdvisor 1 2007.07.31 -
Fortinet 2.91.0.0 2007.07.31 W32/Padonak.A!worm.p2p
F-Prot 4.3.2.48 2007.07.30 -
F-Secure 6.70.13030.0 2007.07.31 P2P-Worm.Win32.Padonak.a
Ikarus T3.1.1.8 2007.07.31 P2P-Worm.Win32.Padonak.a
Kaspersky 4.0.2.24 2007.07.31 P2P-Worm.Win32.Padonak.a
McAfee 5086 2007.07.30 -
Microsoft 1.2704 2007.07.31 -
NOD32v2 2429 2007.07.30 -
Norman 5.80.02 2007.07.31 -
Panda 9.0.0.4 2007.07.31 W32/P2P.Padonak.A
Prevx1 V2 2007.07.31 -
Rising 19.34.12.00 2007.07.31 Trojan.Agent.fpj
Sophos 4.19.0 2007.07.26 -
Sunbelt 2.2.907.0 2007.07.31 -
Symantec 10 2007.07.31 -
TheHacker 6.1.7.159 2007.07.31 -
VBA32 3.12.2.2 2007.07.30 P2P-Worm.Win32.Padonak.a
VirusBuster 4.3.26:9 2007.07.30 -
Webwasher-Gateway 6.0.1 2007.07.31 Trojan.Padonak.A


Análisis del archivo us2installer2.8.49.exe

Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2007.7.31.1 2007.07.31 -
AntiVir 7.4.0.54 2007.07.31 TR/Spy.BZub.L.2
Authentium 4.93.8 2007.07.31 W32/Goldun.gen1@dr
Avast 4.7.1029.0 2007.07.31 Win32:BZub-I
AVG 7.5.0.476 2007.07.30 PSW.Generic2.GRB
BitDefender 7.2 2007.07.31 Trojan.Spy.Goldun.LW
CAT-QuickHeal 9.00 2007.07.31 TrojanSpy.Goldun.lw
ClamAV 0.91 2007.07.31 -
DrWeb 4.33 2007.07.31 -
eSafe 7.0.15.0 2007.07.31 Win32.Goldun.lw
eTrust-Vet 31.1.5019 2007.07.31 Win32/Malum.EHTY
Ewido 4.0 2007.07.31 Logger.Goldun.lw
FileAdvisor 1 2007.07.31 -
Fortinet 2.91.0.0 2007.07.31 Cimuz!tr
F-Prot 4.3.2.48 2007.07.30 W32/Goldun.gen1@dr
F-Secure 6.70.13030.0 2007.07.31 Trojan-Spy.Win32.Goldun.lw
Ikarus T3.1.1.8 2007.07.31 Trojan-Spy.Win32.BZub.hk
Kaspersky 4.0.2.24 2007.07.31 Trojan-Spy.Win32.Goldun.lw
McAfee 5087 2007.07.31 Spy-Agent.ak
Microsoft 1.2704 2007.07.31 PWS:Win32/Cimuz.gen
NOD32v2 2430 2007.07.31 a variant of Win32/Spy.BZub.DG
Norman 5.80.02 2007.07.31 W32/Smalltroj.JTH
Panda 9.0.0.4 2007.07.31 Suspicious file
Rising 19.34.12.00 2007.07.31 Trojan.Spy.Goldun.acg
Sophos 4.19.0 2007.07.26 Troj/Cimuz-Gen
Sunbelt 2.2.907.0 2007.07.31 PWS-Banker
Symantec 10 2007.07.31 Infostealer.Bzup
TheHacker 6.1.7.159 2007.07.31 Trojan/Spy.Goldun.lw
VBA32 3.12.2.2 2007.07.30 MalwareScope.Trojan-Spy.BZub.1
VirusBuster 4.3.26:9 2007.07.31 TrojanSpy.Goldun.MA
Webwasher-Gateway 6.0.1 2007.07.31 Trojan.Spy.BZub.L.2

REPORTE PANDA ACTIVE SCAN


Incidencia Estado Elemento

Posible Virus. No desinfectado C:\Archivos de programa\Driver Cleaner\DCleaner.exe
Spyware:Cookie/Atlas DMT No desinfectado C:\Documents and Settings\PC\Datos de programa\Mozilla\Firefox\Profiles\kabojm6d.default \cookies.txt[.atdmt.com/]
Spyware:Cookie/Doubleclick No desinfectado C:\Documents and Settings\PC\Datos de programa\Mozilla\Firefox\Profiles\kabojm6d.default \cookies.txt[.doubleclick.net/]
Spyware:Cookie/Adtech No desinfectado C:\Documents and Settings\PC\Datos de programa\Mozilla\Firefox\Profiles\kabojm6d.default \cookies.txt[.adtech.de/]
Spyware:Cookie/Com.com No desinfectado C:\Documents and Settings\PC\Datos de programa\Mozilla\Firefox\Profiles\kabojm6d.default \cookies.txt[.com.com/]
Spyware:Cookie/Statcounter No desinfectado C:\Documents and Settings\PC\Datos de programa\Mozilla\Firefox\Profiles\kabojm6d.default \cookies.txt[.statcounter.com/]
Spyware:Cookie/YieldManager No desinfectado C:\Documents and Settings\PC\Datos de programa\Mozilla\Firefox\Profiles\kabojm6d.default \cookies.txt[ad.yieldmanager.com/]
Spyware:Cookie/Advertising No desinfectado C:\Documents and Settings\PC\Datos de programa\Mozilla\Firefox\Profiles\kabojm6d.default \cookies.txt[.advertising.com/]
Spyware:Cookie/YieldManager No desinfectado C:\Documents and Settings\PC\Datos de programa\Mozilla\Firefox\Profiles\kabojm6d.default \cookies.txt[ad.yieldmanager.com/]
Spyware:Cookie/Advertising No desinfectado C:\Documents and Settings\PC\Datos de programa\Mozilla\Firefox\Profiles\kabojm6d.default \cookies.txt[.advertising.com/]
Spyware:Cookie/Tradedoubler No desinfectado C:\Documents and Settings\PC\Datos de programa\Mozilla\Firefox\Profiles\kabojm6d.default \cookies.txt[.tradedoubler.com/]
Spyware:Cookie/Adrevolver No desinfectado C:\Documents and Settings\PC\Datos de programa\Mozilla\Firefox\Profiles\kabojm6d.default \cookies.txt[.adrevolver.com/]
Spyware:Cookie/Yadro No desinfectado C:\Documents and Settings\PC\Datos de programa\Mozilla\Firefox\Profiles\kabojm6d.default \cookies.txt[.yadro.ru/]
Spyware:Cookie/Mediaplex No desinfectado C:\Documents and Settings\PC\Datos de programa\Mozilla\Firefox\Profiles\kabojm6d.default \cookies.txt[.mediaplex.com/]
Virus:W32/Nuwar.DO.worm Desinfectado C:\WINDOWS\system32\spooldr.sys
Virus:Generic Malware Desinfectado E:\Archivos de programa\GameSpy Arcade\Services\_common\PortraitLoader.dll
Spyware:Spyware/Conducent-Timesink No desinfectado E:\Archivos de programa\GlobalSCAPE\CuteFTP\CTInstall.exe
Virus:Trj/Lzx32.H Desinfectado E:\Documents and Settings\Mario\Configuración local\Archivos temporales de Internet\Content.IE5\U5WV6X2T\burnobc[1].txt
Spyware:Cookie/YieldManager No desinfectado E:\Documents and Settings\Mario\Cookies\mario@ad.yieldmanager[1].txt
Spyware:Cookie/Atlas DMT No desinfectado E:\Documents and Settings\Mario\Cookies\mario@atdmt[2].txt
Spyware:Cookie/Doubleclick No desinfectado E:\Documents and Settings\Mario\Cookies\mario@doubleclick[1].txt
Spyware:Cookie/Mediaplex No desinfectado E:\Documents and Settings\Mario\Cookies\mario@mediaplex[1].txt
Spyware:Cookie/Doubleclick No desinfectado E:\Documents and Settings\Mario\Datos de programa\Mozilla\Firefox\Profiles\n7t0he42.default \cookies.txt[.doubleclick.net/]
Spyware:Cookie/Atlas DMT No desinfectado E:\Documents and Settings\Mario\Datos de programa\Mozilla\Firefox\Profiles\n7t0he42.default \cookies.txt[.atdmt.com/]
Spyware:Cookie/YieldManager No desinfectado E:\Documents and Settings\Mario\Datos de programa\Mozilla\Firefox\Profiles\n7t0he42.default \cookies.txt[ad.yieldmanager.com/]
Spyware:Cookie/Hbmediapro No desinfectado E:\Documents and Settings\Mario\Datos de programa\Mozilla\Firefox\Profiles\n7t0he42.default \cookies.txt[.adopt.hbmediapro.com/]
Spyware:Cookie/Toplist No desinfectado E:\Documents and Settings\Mario\Datos de programa\Mozilla\Firefox\Profiles\n7t0he42.default \cookies.txt[.toplist.cz/]
Spyware:Cookie/BurstNet No desinfectado E:\Documents and Settings\Mario\Datos de programa\Mozilla\Firefox\Profiles\n7t0he42.default \cookies.txt[.burstnet.com/]
Spyware:Cookie/FastClick No desinfectado E:\Documents and Settings\Mario\Datos de programa\Mozilla\Firefox\Profiles\n7t0he42.default \cookies.txt[.fastclick.net/]
Spyware:Cookie/Adtech No desinfectado E:\Documents and Settings\Mario\Datos de programa\Mozilla\Firefox\Profiles\n7t0he42.default \cookies.txt[.adtech.de/]
Spyware:Cookie/Com.com No desinfectado E:\Documents and Settings\Mario\Datos de programa\Mozilla\Firefox\Profiles\n7t0he42.default \cookies.txt[.com.com/]
Spyware:Cookie/Advertising No desinfectado E:\Documents and Settings\Mario\Datos de programa\Mozilla\Firefox\Profiles\n7t0he42.default \cookies.txt[.advertising.com/]
Spyware:Cookie/Falkag No desinfectado E:\Documents and Settings\Mario\Datos de programa\Mozilla\Firefox\Profiles\n7t0he42.default \cookies.txt[as1.falkag.de/]
Spyware:Cookie/Mediaplex No desinfectado E:\Documents and Settings\Mario\Datos de programa\Mozilla\Firefox\Profiles\n7t0he42.default \cookies.txt[.mediaplex.com/]
Spyware:Cookie/Xiti No desinfectado E:\Documents and Settings\Mario\Datos de programa\Mozilla\Firefox\Profiles\n7t0he42.default \cookies.txt[.xiti.com/]
Spyware:Cookie/DomainSponsor No desinfectado E:\Documents and Settings\Mario\Datos de programa\Mozilla\Firefox\Profiles\n7t0he42.default \cookies.txt[landing.domainsponsor.com/]
Spyware:Cookie/Hitbox No desinfectado E:\Documents and Settings\Mario\Datos de programa\Mozilla\Firefox\Profiles\n7t0he42.default \cookies.txt[.ehg-dig.hitbox.com/]
Spyware:Cookie/WebtrendsLive No desinfectado E:\Documents and Settings\Mario\Datos de programa\Mozilla\Firefox\Profiles\n7t0he42.default \cookies.txt[statse.webtrendslive.com/]
Spyware:Cookie/Hitbox No desinfectado E:\Documents and Settings\Mario\Datos de programa\Mozilla\Firefox\Profiles\n7t0he42.default \cookies.txt[.ehg-dig.hitbox.com/]
Spyware:Cookie/Tribalfusion No desinfectado E:\Documents and Settings\Mario\Datos de programa\Mozilla\Firefox\Profiles\n7t0he42.default \cookies.txt[.tribalfusion.com/]
Spyware:Cookie/Serving-sys No desinfectado E:\Documents and Settings\Mario\Datos de programa\Mozilla\Firefox\Profiles\n7t0he42.default \cookies.txt[.serving-sys.com/]
Spyware:Cookie/Serving-sys No desinfectado E:\Documents and Settings\Mario\Datos de programa\Mozilla\Firefox\Profiles\n7t0he42.default \cookies.txt[.bs.serving-sys.com/]
Spyware:Cookie/FortuneCity No desinfectado E:\Documents and Settings\Mario\Datos de programa\Mozilla\Firefox\Profiles\n7t0he42.default \cookies.txt[.fortunecity.com/]
Spyware:Cookie/bravenetA No desinfectado E:\Documents and Settings\Mario\Datos de programa\Mozilla\Firefox\Profiles\n7t0he42.default \cookies.txt[.bravenet.com/]
Adware:Adware/SpySheriff No desinfectado E:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\AJCL0N27\rbluvs[1].htm
Virus:Trj/Agent.DOI Desinfectado E:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\KDERC9QB\iolyzwj[1].htm
Virus:Trj/Clicker.WH Desinfectado E:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\S92F896Z\burnobc[1].txt
Adware:Adware/IST.ISTBar No desinfectado E:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\S92F896Z\istdownload[1].exe
Virus:Generic Malware Desinfectado E:\Program Files\PestTrap\Uninstall.exe
Virus:Trj/Dropper.WF Desinfectado E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0066610.exe
Virus:Trj/Dropper.WF Desinfectado E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0066611.exe
Virus:Trj/Dropper.WF Desinfectado E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0066612.exe
Virus:Trj/Dropper.WF Desinfectado E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0066618.exe
Virus:Trj/Downloader.NHX Desinfectado E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067687.exe
Virus:Trj/Downloader.NHX Desinfectado E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067688.exe
Virus:Trj/Agent.DOI Desinfectado E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067693.exe
Virus:Trj/Disablekey.BF Desinfectado E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067695.dll
Adware:Adware/SpySheriff No desinfectado E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067697.exe
Adware:Adware/Adsmart No desinfectado E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067699.exe
Virus:Trj/Lineage.BUE Desinfectado E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067706.exe
Adware:Adware/DollarRevenue No desinfectado E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067708.exe
Adware:Adware/IST.ISTBar No desinfectado E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067710.exe
Virus:W32/P2P.Padonak.A Desinfectado E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067711.exe
Virus:Trj/Disablekey.BF Desinfectado E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067712.dll
Virus:Trj/Sinowal.DV Desinfectado E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067713.exe
Adware:Adware/Adsmart No desinfectado E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067714.exe
Virus:Trj/Disablekey.BF Desinfectado E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067715.exe
Hacktool:HackTool/EvID No desinfectado E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067718.exe
Adware:Adware/MalwareAlarm No desinfectado E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067733.dll
Adware:Adware/MalwareAlarm No desinfectado E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067734.dll
Adware:Adware/MalwareAlarm No desinfectado E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067735.dll
Adware:Adware/MalwareAlarm No desinfectado E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067736.dll
Adware:Adware/SecurityError No desinfectado E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067737.exe
Adware:Adware/PestCapture No desinfectado E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067738.exe
Hacktool:HackTool/EvID4226 No desinfectado E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067739.exe
Virus:Trj/Disablekey.BF Desinfectado E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067741.dll
Virus:Trj/Dropper.WF Desinfectado E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067758.exe
Adware:Adware/DollarRevenue No desinfectado E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067761.exe
Adware:Adware/IST.ISTBar No desinfectado E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067762.exe
Virus:Trj/Downloader.MDW Desinfectado E:\System Volume Information\_restore{C3012A07-0E7D-458E-A48C-89FC0FA1CCB7}\RP250\A0067763.exe
Virus:Trj/Downloader.MDW Desinfectado E:\WINDOWS\ie.exe
Virus:Rootkit/Agent.FZT Desinfectado E:\WINDOWS\system32:lzx32.sys
Virus:W32/P2P.Padonak.A Desinfectado E:\WINDOWS\system32\wunauclt.exe
Spyware:Cookie/fe.lea.lycos No desinfectado F:\Documents and Settings\Vico\Cookies\vico@fe.lea.lycos[1].txt



Fíjate que el panda me ha desinfectado el spooldr.sys que estaba en windows, creo que por ahí vamos bien. Ahora reinicio y a ver que pasa.
Sobre la unidad E: tampoco hagas mucho caso ya que como te dije no la utilizo, es decir, tengo que pasar datos de E: a C: pero nada más, no creo que allí encontremos el virus que me está causando todo ésto.

Un apunte que te quería comentar, es que estoy recibiendo mogollón de mails de ese tipo, "A family member has sent you..." 40 y pico por día, no se si es causado por ésto, o es que hay un storm de virus ahora en verano. La cuestión es que me dio por ponerlo en el google, y parece que ser que a varia gente lo que le hace estos mensajes es meterles un virus tipo troyano para usar la ip de su conexión, es decir, como si estuvieran utilizando tu conexión para ellos, pero no para el que te envía el virus, sinó para peña que no sabe nada de ello, yo puse la dirección ip de donde me venía el virus en el "who is" y me salió una empresa de Texas llamada AT&T no se si eso te puede dar más pistas.

Otra cosa más, lo del perfil en el Mozilla, yo no tengo ningún perfil creado, y en todo caso se llamaría default y no ese nombre tan raro que pone, creo que por ahí también hay algo raro.


Lo dicho, reinicio y a ver que pasa.
Gracias otra vez

Solucionado!! Eres un fiera tío.
Decir que después de reiniciar busqué en el registro, limpio, busqué en el firewall, ya no me aparecía esa conexión rara, limpio, y luego en windows, voila!!, apareció por arte de magia el spooldr.exe que estaba camuflado, fue un orgasmo lento y duradero poner el puntero del ratón sobre él y eliminarlo, rollo cuando paty y selma se fuman un cigarro después de ver McGyver...jejeje.

PARA QUIÉN LE PASE:

1- Seguir todos los pasos que ha detallado Claw en éste post
2- Antes de reiniciar, aseguraros que el registro queda limpito de entradas con el valor "spooldr" y comprobad que en las excepciones del firewall no hay ninguna conexión rara tipo "spooldr", si la hay la elimináis.
Limpiad también las cookies que puedan aparecen en el mozilla o explorer
3- Reiniciad el pc (teniendo desconectado el router o el modem, por si acaso), y buscar en windows el archivo spooldr.exe, puede que aparezca, si es así, lo elimináis.
4- Encendéis el router o módem, y listo.

Mil gracias otra vez Claw, han sido varias largas horas pero ha merecido la pena. Si ves que de todas maneras tendría que hacer algo más no dudes en postearlo.

¡Pues fantástico!

Lo único que te quería comentar era lo de los archivos que te dije que subieras a VirusTotal, ya que algunos creo que son "falsos positivos" y otros virus de verdad.

Los que creo que son falsos positivos:

Del programa Nero. Lo detectan algunos si, y otros no

-> C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

Con este tengo dudas, pero mejor no lo eliminemos a no ser que tengas problemas de conexión y demás por si fuera legítimo

-> C:\WINDOWS\system32\dllcache\tcpip.sys

Los que creo que deberías eliminar porque son virus:

• E:\WINDOWS\ie.exe
• E:\WINDOWS\system32\wunauclt.exe
• E:\WINDOWS\us2installer2.8.49.exe

En fin, como quieras. Si los quieres dejar por si acaso y no eliminarlos, no creo que hagan nada raro. Lo importante ya está liquidado

Avísanos para dar el tema por solucionado o seguir

Salu2

EDITO: fijándome nuevamente, me acabo de dar cuenta que los archivos wunauclt.exe y ie.exe ya los eliminó el Panda

Sí, lo del NeroCheck lo he dejado por si acaso, el resto los he borrado y todo funciona perfectamente.

Por mí, tema solucionado.

Muchas gracias :bigg rin: