El otro dia me mandaron un virus muy molesto por MSN. Lo que hace es: cada determinada cantidad de tiempo se autoenvia solo a todos mis contactos. Ayer trate de eliminarlo con varios programas e incluso manualmente, sin éxito. Y encima ahora también me abre pop-ups de páginas con "supuestos" programas para remover virus y analizar el sistema, que nunca abro porque tengo bien en claro que solo instalan algunos virus más.

¿Pueden ayudarme? Este es el log de Hijack This.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:44:43, on 17/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\atievxx.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\WINDOWS\system32\Atiptaxx.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\dllcache\winlogon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Ares\Ares.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\dllcache\winlogon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {B4C60B70-CB8E-42A4-A4CA-F9425CECDA15} - C:\WINDOWS\system32\byvuu.dll
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [winlogon] C:\WINDOWS\system32\dllcache\winlogon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Estadísticas del componente Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O20 - Winlogon Notify: byvuu - C:\WINDOWS\system32\byvuu.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe (file missing)
O23 - Service: Norton Protection Center Service (NSCService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe (file missing)

--
End of file - 4756 bytes

Nuevo Log: actualizo. Ya elimine varias entradas sospechosas,varias de ellas detectadas con el antivirus, y gracias a la proteccion residente del Spybot pude evitar que modificaran mi registro nuevamente. Pero hay una en particular (BHO de byvuu.dll) que fixeo y se vuelve a regenerar. Este es el ultimo log que saque con todos los arreglos.

http://rapidshare.com/files/56460307/img0024.zip.html -por cierto que este es el virus, o mejor dicho una copia casi exacta que consegui con el ARES. Es el primero que me entro, y lo puse en descarga para que puedan ver cual es. No creo que les haga nada a menos que abran el ejecutable que tiene dentro, asi que no creo que haya peligro en descargarlo. Espero que alguien pueda ayudarme a borrarlo.

Ayudenme por favor no aguanto mas este inmundo virus!

Ayudenme porfavor se los pido esto esta cada vez peor el virus me ataca el msn cada vez mas rapido y el internet me funciona cada vez mas lento casi no puedo navegar por favor ayuda.

¿Es que nadie va a ayudarme¿ Por favor!!!

Actualice el log. Cada vez tengo mas virus. ¡AYUDA PLEASE!

En el tema sobre Winantivirus lei algo sobre el Combo Fix. Les cuento que la pagina del Winantivirus, Winantispyware, seekporn.net y www.brandarama.com son algunas de las paginas que se me aparecen (y es a eso a lo que me referia con "cada vez tengo mas virus". Asi que segui las instrucciones y aca esta el log del ComboFix. Por favor, si me ayudan a solucionar este problema voy a estar muy agradecido. Aun con esto no creo que se me haya ido el virus del MSN.

ComboFix 07-09-17.2 - "Gabriel R. Pena" 2007-09-18 16:43:55.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.49 [GMT -3:00]
Se super¢ el tiempo de ejecuci¢n de la secuencia de comandos "C:\ComboFix\restore_pt.vbs".
Termin¢ la ejecuci¢n de la secuencia.
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\atvfngcm.dll
C:\WINDOWS\system32\bduofmbh.dll
C:\WINDOWS\system32\cnqpucbq.dll
C:\WINDOWS\system32\ecqpplyd.dll
C:\WINDOWS\system32\hbejwklt.ini
C:\WINDOWS\system32\jjkllyrp.ini
C:\WINDOWS\system32\kwmagtyt.dll
C:\WINDOWS\system32\lxpbejyu.dll
C:\WINDOWS\system32\pryllkjj.dll
C:\WINDOWS\system32\qbcupqnc.ini
C:\WINDOWS\system32\sutwa.bak1
C:\WINDOWS\system32\sutwa.bak2
C:\WINDOWS\system32\sutwa.ini
C:\WINDOWS\system32\sybicofu.dll
C:\WINDOWS\system32\tlkwjebh.dll
C:\WINDOWS\system32\ufocibys.ini2
C:\WINDOWS\system32\ufocibys.tmp
C:\WINDOWS\system32\uuvyb.bak1
C:\WINDOWS\system32\uuvyb.bak2
C:\WINDOWS\system32\uuvyb.ini
C:\WINDOWS\system32\uuvyb.ini2
C:\WINDOWS\system32\uuvyb.tmp

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\nm


((((((((((((((((((((((((( Files Created from 2007-08-18 to 2007-09-18 )))))))))))))))))))))))))))))))
.

2007-09-18 17:20 818,047 ---hs---- C:\WINDOWS\system32\uuvyb.ini2
2007-09-18 17:17 817,812 ---hs---- C:\WINDOWS\system32\uuvyb.bak1
2007-09-18 15:53 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-18 12:52 <DIR> d-------- C:\WINDOWS\pss
2007-09-17 23:42 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\SUPERAntiSpyware.com
2007-09-17 23:41 <DIR> d-------- C:\DOCUME~1\GABRIE~1.PEN\DATOSD~1\SUPERAntiSpyware .com
2007-09-17 23:41 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2007-09-17 23:40 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2007-09-17 23:36 5,797,152 --a------ C:\SUPERAntiSpyware.exe
2007-09-17 23:36 1,484,009 --a------ C:\ComboFix.exe
2007-09-17 14:10 11,840 --a------ C:\WINDOWS\system32\woxythbb.dll
2007-09-16 13:21 82,061 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-09-16 13:21 81,549 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-09-16 13:18 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Kaspersky Lab
2007-09-16 13:18 <DIR> d-------- C:\Archivos de programa\Kaspersky Lab
2007-09-16 13:15 23,328 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-09-16 13:15 1,709,600 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-09-16 11:55 <DIR> d-------- C:\KAV
2007-09-16 11:54 21,791,800 --a------ C:\kav6.0.2.621es_1y.exe
2007-09-16 10:33 297,568 --a------ C:\WINDOWS\system32\byvuu.dll
2007-09-15 09:12 812,344 --a------ C:\HJTInstall.exe
2007-09-15 09:12 7,467,056 --a------ C:\spybotsd15.exe
2007-09-15 09:12 <DIR> d-------- C:\Archivos de programa\Trend Micro
2007-09-15 09:08 1,044,168 --a------ C:\vbrun60sp5.exe
2007-09-14 21:40 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Spybot - Search & Destroy
2007-09-14 21:35 5,037,072 --a------ C:\spybotsd14.exe
2007-09-11 15:23 <DIR> d-------- C:\simpsons
2007-09-10 22:23 2,192,717 --a------ C:\Dolphin_Installer_1[1].0.3.2.exe
2007-09-10 22:23 <DIR> d-------- C:\Archivos de programa\Dolphin
2007-09-04 22:05 <DIR> d-------- C:\DOCUME~1\GABRIE~1.PEN\DATOSD~1\Vso
2007-09-04 22:05 <DIR> d-------- C:\Archivos de programa\VSO
2007-08-31 12:05 <DIR> d-------- C:\VisualBoyAdvance1.8.1_beta3_
2007-08-28 16:43 <DIR> d-------- C:\VisualBoyAdvance-1[1][1].8.0-beta2
2007-08-26 21:48 <DIR> d-------- C:\mame32
2007-08-19 19:54 <DIR> d-------- C:\dbzlotss
2007-08-18 22:49 <DIR> d-------- C:\Archivos de programa\DivX
2007-08-18 20:24 <DIR> d-------- C:\snes9x-1.43-win32

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2007-09-18 17:12 3092 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2007-09-18 17:12 23324 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2007-09-18 13:08 --------- d-------- C:\Archivos de programa\Archivos comunes\Symantec Shared
2007-09-16 13:15 --------- d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Symantec
2007-09-16 13:15 --------- d-------- C:\Archivos de programa\Symantec
2007-08-16 16:38 --------- d-------- C:\Archivos de programa\MuRegCliente100B5
2007-08-05 21:54 --------- d-------- C:\Archivos de programa\Lavalys
2007-08-02 12:01 --------- d-------- C:\Archivos de programa\MuPirata
2007-07-31 12:23 8384854 --a------ C:\wxp-j5-30-1-b02.exe
2007-07-30 22:47 --------- d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Messenger Plus!
2007-07-30 22:45 --------- d-------- C:\Archivos de programa\Windows Live
2007-07-30 22:44 3868248 --a------ C:\MsgPlusLive-423.exe
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-25 23:53 200704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-07-25 23:53 1044480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-07-25 11:02 --------- d-------- C:\Archivos de programa\Google
2007-07-25 10:41 --------- d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Google
2007-07-24 11:30 48358 --a------ C:\WINDOWS\system32\uninst Codec pack Base (DivX, Xvid, 3ivx).exe
2007-07-24 11:30 --------- d-------- C:\DOCUME~1\GABRIE~1.PEN\DATOSD~1\Crystal Player
2007-07-23 18:33 --------- d-------- C:\DOCUME~1\GABRIE~1.PEN\DATOSD~1\Google
2007-07-22 23:21 --------- d-------- C:\DOCUME~1\GABRIE~1.PEN\DATOSD~1\Help
2007-07-22 16:07 806 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.INF
2007-07-22 16:07 8014 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2007-07-22 16:07 48776 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2007-07-22 16:07 115000 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2007-07-21 19:00 --------- d-------- C:\Archivos de programa\Microsoft Games
2007-07-21 13:55 2017091 --a------ C:\aresregular209_installer.exe
2007-07-21 13:55 --------- d-------- C:\Archivos de programa\Ares
2007-07-21 13:53 --------- d-------- C:\Archivos de programa\CCleaner
2007-07-21 13:52 2720456 --a------ C:\ccsetup141.exe
2007-07-21 13:45 --------- d-------- C:\Archivos de programa\Winamp
2007-07-21 13:38 6221304 --a------ C:\winamp535_full_emusic-7plus.exe
2007-07-21 00:02 17906544 --a------ C:\Install_Messenger.exe
2007-07-20 22:45 --------- d-------- C:\Archivos de programa\microsoft frontpage
2007-07-20 22:39 --------- d-------- C:\Archivos de programa\Archivos comunes\MSSoap
2007-07-20 18:25 --------- d-------- C:\Archivos de programa\Archivos comunes\SpeechEngines
2007-07-20 18:25 --------- d-------- C:\Archivos de programa\Archivos comunes\ODBC
2007-06-26 03:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-19 10:30 282112 --a------ C:\WINDOWS\system32\gdi32.dll
--------- C:\Archivos de programa\Servicios en línea
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{477E5ADC-1FC5-48C8-AB1E-E8159FBC8B53}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{693AAF17-E246-48FB-8E5C-E1C4A1153E0A}]
2007-09-16 10:33 297568 --a------ C:\WINDOWS\system32\byvuu.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"WinampAgent"="C:\Archivos de programa\Winamp\winampa.exe" [2007-05-14 19:22]
"AtiPTA"="Atiptaxx.exe" [2001-10-10 15:59 C:\WINDOWS\system32\atiptaxx.exe]
"AVP"="C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2007-03-09 20:50]
"ccApp"="C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe" [2007-09-18 13:07]
"Symantec PIF AlertEng"="C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 10:42]
"MsnMsgr"="C:\Archivos de programa\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
"MSMSGS"="C:\Archivos de programa\Messenger\msmsgs.exe" [2004-10-13 13:24]
"ares"="C:\Archivos de programa\Ares\Ares.exe" [2007-07-16 18:54]
"SpybotSD TeaTimer"="C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-02-27 11:39]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 12:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-02-27 11:39 282624 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byvuu]
C:\WINDOWS\system32\byvuu.dll 2007-09-16 10:33 297568 C:\WINDOWS\system32\byvuu.dll

R3 ati2mpad;ati2mpad;C:\WINDOWS\system32\DRIVERS\ati2 mpad.sys
R3 FET5X86V;VIA Rhine-Family Fast-Ethernet Adapter Driver Service;C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys

.
************************************************** ************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-18 17:17:23
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

C:\WINDOWS\system32\vespydpq.dll

scan completed successfully
hidden files: 1

************************************************** ************************
.
Completion time: 2007-09-18 17:31:28 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-09-18 17:31
.
--- E O F ---