Salu2 ...

Quiero Exponer Un Problema Con Un Archivo Llamado Totour.exe Que Se Ubica En Windows ( Xp ) Dentro De System32, Mi Antivirus ( Avast Pro Actualizado ) Lo Detecta Y Lo Pone En Cuarentena (APARENTEMENTE) Pero Cada Que Enciendo La Pc, Aparece Dentro De System32, Como Lo Elimino ? Agradesco La Ayuda Que Me Puedan Proporcionar ...

OTRA SITUACION QUE ME SUCEDE ES, QUE LAS UNIDADES DE DISCO ( TRES DISCOS PARTICIONADOS EN 2 CADA UNO ) SON DESCONOCIDAS ( O EL STATUS DE DISCO ES CAMBIADO )POR LA PC ... Y VUELVEN A SER RECONOCIDAS EN DIFERENTES MOMENTOS ... SERA POR EL VIRUS ?

UTILIZANDO HIJACKTHIS V2.0.2 OBTUVE EL REPORTE SIGUIENTE.:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:50:58 a.m., on 22/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa2\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa2\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Archivos de programa2\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Archivos de programa2\Alwil Software\Avast4\ashDisp.exe
C:\WINDOWS\system32\schggqzm.exe
C:\WINDOWS\system32\eddesp.exe
C:\WINDOWS\system32\psncc32.exe
C:\WINDOWS\system32\sdvlibswr.exe
C:\WINDOWS\system32\filsemd.exe
C:\WINDOWS\system32\vmddnst.exe
C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa2\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa2\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa2\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://prodigy.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-mx\msntb.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Archivos de programa\Styler\TB\StylerTB.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: T1msn - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-mx\msntb.dll
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa2\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] "C:\Archivos de programa2\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [isrdmcc] KB02937368.exe
O4 - HKLM\..\Run: [rtksw32] C:\WINDOWS\system32\schggqzm.exe
O4 - HKLM\..\Run: [lcuise] C:\WINDOWS\system32\eddesp.exe
O4 - HKLM\..\Run: [adlhidp] C:\WINDOWS\system32\psncc32.exe
O4 - HKLM\..\Run: [trivisls] C:\WINDOWS\system32\sdvlibswr.exe
O4 - HKLM\..\Run: [nbkarts] C:\WINDOWS\system32\filsemd.exe
O4 - HKLM\..\Run: [vtdlpse] C:\WINDOWS\system32\vmddnst.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [isrdmcc] KB02937368.exe
O4 - HKCU\..\Run: [rtksw32] C:\WINDOWS\system32\schggqzm.exe
O4 - HKCU\..\Run: [lcuise] C:\WINDOWS\system32\eddesp.exe
O4 - HKCU\..\Run: [adlhidp] C:\WINDOWS\system32\psncc32.exe
O4 - HKCU\..\Run: [trivisls] C:\WINDOWS\system32\sdvlibswr.exe
O4 - HKCU\..\Run: [nbkarts] C:\WINDOWS\system32\filsemd.exe
O4 - HKCU\..\Run: [vtdlpse] C:\WINDOWS\system32\vmddnst.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Documentos\Settings\partnership.dll (file missing)
O21 - SSODL: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - (no file)
O22 - SharedTaskScheduler: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - (no file)
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa2\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa2\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa2\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa2\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa2\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 6752 bytes


SE REFLEJARA EL PROBLEMA QUE TENGO EN ESTE REPORTE ?

AGRADEZCO LA AYUDA QUE ME PUEDAN PROPORCIONAR PARA SOLUCIONAR EL PROBLEMA CON EL VIRUS TOTOUR.EXE ...

SALU2 Y GRACIAS POR LA ATENCION QUE ME OTORGUEN ...

ATTE.: VICTOR

Hola, te doy la bienvenida al Foro, escribir en mayúsculas en internet significa que estás gritando y a nadie le gusta que le griten ¿verdad?

Sigue estos pasos:

- Descarga y ejecuta la herramienta Ccleaner y siguiendo los pasos de su manual utiliza las opciones Limpiador y Registro.

- Descarga el Super Antispyware instálalo y actualízalo luego realiza un escaneo en Modo Seguro

- Descarga la herramienta ComboFix y guárdala en tu escritorio.
Haz doble clic en el archivo combofix.exe y sigue los avisos.
Cuando termine este generará un reporte que tendrías que pegar en este mismo mensaje.

Nota* Puede que algunos Antivirus como Panda detecten un falso positivo en ComboFix pero no hay que preocuparse por esto.

Reinicia la máquina, pega un nuevo log de Hijackthis y uno de ComboFix, luego nos comentas los resultados.

Saludos

GRACIAS POR LA AYUDA GPASTOR ...

REALICE LOS PROCEDIMIENTOS COMO ME SUGERISTE, SOLO QUE ME SURGIERON ALGUNOS PROBLEMAS AL TRATAR DE REALIZAR LOS PROCEDIMIENTOS CORRECTAMENTE ...

PASO 1 .: CORRER CCLEANER -- PROCESO REALIZADO SATISFACTORIAMENTE ( AREA DE REGISTRO Y LIMPIEZA GENERAL )

PASO 2 .: CORRER SUPER ANTISPYWARE -- PROCESO REALIZADO INCOMPLETO, LA ACTUALIZACION FUE SATISFACTORIA, PERO EL ESCANEO O REVISION DE SISTEMA TUVO PROBLEMAS, DURANTE EL PROCEDIMIENTO EN ALGUN PUNTO EL PROGRAMA SE QUEDO, COMO LO DIRE ... DETENIDO E INACTIVO DEL CUAL JAMAS LOGRE QUE AVANZARA HASTA EL FIN DE LA REVISION -- DETECTO 5 AMENAZAS CON LAS CUALES NO SE LLEGO AL FIN DEL PROCESO PUES, SE " CONGELABA EL PROGRAMA " Y LO TENIA QUE SUSPENDER POR MEDIO DEL ADMINISTRADOR DE TAREAS ( PROCESO DETENIDO )

PASO 3 .: CORRER COMBO FIX -- PROCESO REALIZADO CON EXITO ( AQUI PEGO EL REPORTE )

PASO 4 .: CORER HIJACKTHIS -- PROCESO REALIZADO CON EXITO ( EL REPORTE LO PEGO ABAJO DEL REPORTE DE COMBO FIX )

OTRA SITUACION QUE ME SUCEDE ES, QUE LAS UNIDADES DE DISCO ( TRES DISCOS PARTICIONADOS EN 2 CADA UNO ) SON DESCONOCIDAS ( O EL STATUS DE DISCO ES CAMBIADO )POR LA PC ... Y VUELVEN A SER RECONOCIDAS EN DIFERENTES MOMENTOS ... SERA POR EL VIRUS ?

REPORTE DE COMBO FIX .:

ComboFix 07-09-21.2 - "Victor" 2007-09-23 0:31:27.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.135 [GMT -5:00]
* Created a new restore point
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\DOCUME~1\Victor\DATOSD~1\Microsoft\25319.dat
C:\WINDOWS\system32\3_exception.nls
C:\WINDOWS\system32\drivers\hpjnokja.sys
C:\WINDOWS\system32\drivers\MST57.sys
C:\WINDOWS\system32\drivers\symavc32.sys
C:\WINDOWS\system32\koos.exe
C:\WINDOWS\system32\kprof
C:\WINDOWS\system32\nsl.dll
C:\WINDOWS\system32\poof

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_FWDRV.SYS
-------\LEGACY_MST57
-------\LEGACY_POOF
-------\LEGACY_RUNTIME
-------\LEGACY_SMTPDRV
-------\fwdrv.sys
-------\smtpdrv


((((((((((((((((((((((((( Files Created from 2007-08-23 to 2007-09-23 )))))))))))))))))))))))))))))))
.

2007-09-23 00:46 42,496 --a------ C:\WINDOWS\system32\totour.exe
2007-09-22 22:56 <DIR> d-------- C:\DOCUME~1\Administrador\Datos de programa\Teleca
2007-09-22 22:56 <DIR> d-------- C:\DOCUME~1\Administrador\Datos de programa\Sony Ericsson
2007-09-22 22:48 <DIR> d-------- C:\DOCUME~1\Administrador\Datos de programa\SUPERAntiSpyware.com
2007-09-22 19:52 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-22 04:22 <DIR> d-------- C:\DOCUME~1\Victor\DATOSD~1\SUPERAntiSpyware.com
2007-09-22 04:22 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\SUPERAntiSpyware.com
2007-09-22 04:22 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2007-09-22 03:50 <DIR> d-------- C:\HijackThis
2007-09-22 02:24 <DIR> dr------- C:\DOCUME~1\Administrador\Men£ Inicio
2007-09-22 02:24 <DIR> dr------- C:\DOCUME~1\Administrador\Datos de programa
2007-09-22 02:24 <DIR> d-------- C:\DOCUME~1\Administrador\Reciente
2007-09-22 02:24 <DIR> d-------- C:\DOCUME~1\Administrador\Plantillas
2007-09-22 02:24 <DIR> d-------- C:\DOCUME~1\Administrador\Mis documentos
2007-09-22 02:24 <DIR> d-------- C:\DOCUME~1\Administrador\Impresoras
2007-09-22 02:24 <DIR> d-------- C:\DOCUME~1\Administrador\Favoritos
2007-09-22 02:24 <DIR> d-------- C:\DOCUME~1\Administrador\Escritorio
2007-09-22 02:24 <DIR> d-------- C:\DOCUME~1\Administrador\Entorno de red
2007-09-22 02:24 <DIR> d-------- C:\DOCUME~1\Administrador\Configuraci¢n local
2007-09-22 00:28 <DIR> d-------- C:\Archivos de programa\Real
2007-09-22 00:28 <DIR> d-------- C:\Archivos de programa\Archivos comunes\xing shared
2007-09-22 00:28 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Real
2007-09-22 00:25 <DIR> d-------- C:\DOCUME~1\Victor\DATOSD~1\Real
2007-09-18 13:20 98,568 -ra------ C:\WINDOWS\system32\drivers\s115obex.sys
2007-09-18 13:20 83,208 -ra------ C:\WINDOWS\system32\drivers\s115bus.sys
2007-09-18 13:20 15,112 -ra------ C:\WINDOWS\system32\drivers\s115mdfl.sys
2007-09-18 13:20 12,424 -ra------ C:\WINDOWS\system32\drivers\s115whnt.sys
2007-09-18 13:20 12,424 -ra------ C:\WINDOWS\system32\drivers\s115wh.sys
2007-09-18 13:20 12,424 -ra------ C:\WINDOWS\system32\drivers\s115cmnt.sys
2007-09-18 13:20 12,424 -ra------ C:\WINDOWS\system32\drivers\s115cm.sys
2007-09-18 13:20 108,680 -ra------ C:\WINDOWS\system32\drivers\s115mdm.sys
2007-09-18 13:20 100,488 -ra------ C:\WINDOWS\system32\drivers\s115mgmt.sys
2007-09-17 20:09 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Yahoo! Companion
2007-09-17 02:16 <DIR> d-------- C:\Archivos de programa\FileASSASSIN
2007-09-17 00:47 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2007-09-17 00:05 45,836 --a------ C:\1rsd.exe
2007-09-16 05:03 <DIR> d-------- C:\Archivos de programa\Yahoo!
2007-09-16 05:02 <DIR> d-------- C:\Archivos de programa\CCleaner
2007-09-12 15:29 <DIR> d-------- C:\Archivos de programa\Disc2Phone
2007-09-12 15:17 <DIR> d-------- C:\WINDOWS\system32\URTTemp
2007-09-12 15:00 <DIR> d-------- C:\DOCUME~1\Victor\DATOSD~1\AdobeUM
2007-09-12 14:18 98,696 -ra------ C:\WINDOWS\system32\drivers\s125obex.sys
2007-09-12 14:18 100,488 -ra------ C:\WINDOWS\system32\drivers\s125mgmt.sys
2007-09-12 14:11 83,336 -ra------ C:\WINDOWS\system32\drivers\s125bus.sys
2007-09-12 14:11 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2007-09-12 14:11 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2007-09-12 14:11 15,112 -ra------ C:\WINDOWS\system32\drivers\s125mdfl.sys
2007-09-12 14:11 12,424 -ra------ C:\WINDOWS\system32\drivers\s125whnt.sys
2007-09-12 14:11 12,424 -ra------ C:\WINDOWS\system32\drivers\s125wh.sys
2007-09-12 14:11 12,424 -ra------ C:\WINDOWS\system32\drivers\s125cmnt.sys
2007-09-12 14:11 12,424 -ra------ C:\WINDOWS\system32\drivers\s125cm.sys
2007-09-12 14:11 108,680 -ra------ C:\WINDOWS\system32\drivers\s125mdm.sys
2007-09-12 14:11 <DIR> d-------- C:\DOCUME~1\Victor\DATOSD~1\Teleca
2007-09-12 13:57 <DIR> d-------- C:\DOCUME~1\Victor\DATOSD~1\Sony Ericsson
2007-09-12 13:56 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Teleca Shared
2007-09-12 13:56 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Sony Ericsson Shared
2007-09-12 13:55 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Teleca
2007-09-12 13:55 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Sony Ericsson
2007-09-11 14:33 1,354 --a------ C:\WINDOWS\mozver.dat
2007-09-10 15:55 0 --a------ C:\WINDOWS\system32\ntkrpamp.exe
2007-09-10 15:55 0 --a------ C:\WINDOWS\system32\ntkrnlmp.exe
2007-09-10 00:28 <DIR> d-------- C:\DOCUME~1\Victor\DATOSD~1\Opera
2007-09-10 00:28 <DIR> d-------- C:\Archivos de programa3
2007-09-07 12:47 72,954 --a------ C:\WINDOWS\yrfefef.exe
2007-09-07 12:47 72,438 --a------ C:\WINDOWS\uygregtrds.exe
2007-09-07 12:47 71,401 --a------ C:\WINDOWS\ewtrefe.exe
2007-09-07 12:47 71,352 --a------ C:\WINDOWS\wewfgrtr.exe
2007-09-07 12:47 70,965 --a------ C:\WINDOWS\tfgtrere.exe
2007-09-07 12:47 45,102 --a------ C:\WINDOWS\debgfrfd.exe
2007-09-07 11:44 <DIR> d-------- C:\DOCUME~1\Victor\Contacts
2007-09-07 11:43 57,856 --a------ C:\WINDOWS\system32\dgsetu.dll
2007-09-07 11:43 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-09-06 10:31 <DIR> d-------- C:\Archivos de programa\Ares
2007-09-06 09:57 0 --a------ C:\WINDOWS\nsreg.dat
2007-09-06 03:06 94,416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-09-06 03:06 92,848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-09-06 03:06 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-09-06 03:06 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-09-06 03:06 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-09-06 03:05 95,608 --a------ C:\WINDOWS\system32\AVASTSS.scr
2007-09-06 03:05 783,224 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-09-06 03:05 499,712 --a------ C:\WINDOWS\system32\MSVCP71.dll
2007-09-06 03:05 348,160 --a------ C:\WINDOWS\system32\MSVCR71.dll
2007-09-06 03:05 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2007-09-06 01:59 24,661 --a--c--- C:\WINDOWS\system32\dllcache\spxcoins.dll
2007-09-06 01:59 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll
2007-09-06 01:59 13,312 --a--c--- C:\WINDOWS\system32\dllcache\irclass.dll
2007-09-06 01:59 13,312 --a------ C:\WINDOWS\system32\irclass.dll
2007-09-05 23:42 <DIR> d-------- C:\DOCUME~1\Victor\DATOSD~1\COWON
2007-09-05 02:04 <DIR> d-------- C:\Archivos de programa\MSN Apps
2007-09-05 02:03 <DIR> d-------- C:\Archivos de programa\MSN Messenger
2007-09-05 01:39 <DIR> d-------- C:\DOCUME~1\Victor\DATOSD~1\Roxio
2007-09-04 03:13 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-09-04 03:13 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2007-09-04 03:12 <DIR> d-------- C:\WINDOWS\pss
2007-09-04 03:01 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-09-04 03:00 <DIR> d-------- C:\DOCUME~1\NETWOR~1\Men£ Inicio
2007-09-04 02:37 <DIR> d-------- C:\Archivos de programa2
2007-09-04 02:18 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Google
2007-09-04 02:17 <DIR> d-------- C:\WINDOWS\system32\VIRepair

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2007-09-10 12:44 2275818 --a------ C:\WINDOWS\system32\ntoskrnl.exe
2007-09-10 12:44 2151658 --a------ C:\WINDOWS\system32\ntkrnlpa.exe
2007-09-03 00:39 --------- d-------- C:\Archivos de programa\microsoft frontpage
2007-09-03 00:34 --------- d-------- C:\Archivos de programa\Archivos comunes\MSSoap
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2001-11-22 23:08 712704 --a------ C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
--------- C:\Archivos de programa\Servicios en línea
2004-08-19 13:42:48 71,401 --sh--r C:\WINDOWS\system32\eddesp.exe
2004-08-19 13:42:48 70,965 --sh--r C:\WINDOWS\system32\filsemd.exe
2004-08-19 13:42:48 72,954 --sh--r C:\WINDOWS\system32\psncc32.exe
2004-08-19 13:42:48 45,102 --sh--r C:\WINDOWS\system32\schggqzm.exe
2004-08-19 13:42:48 72,438 --sh--r C:\WINDOWS\system32\sdvlibswr.exe
2004-08-19 13:42:48 71,352 --sh--r C:\WINDOWS\system32\vmddnst.exe
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 05:15]
"!AVG Anti-Spyware"="C:\Archivos de programa2\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-09-04 03:03]
"avast!"="C:\Archivos de programa2\Alwil Software\Avast4\ashDisp.exe" [2007-07-27 17:03]
"isrdmcc"="KB02937368.exe" []
"rtksw32"="C:\WINDOWS\system32\schggqzm.exe" [2004-08-19 08:42]
"lcuise"="C:\WINDOWS\system32\eddesp.exe" [2004-08-19 08:42]
"adlhidp"="C:\WINDOWS\system32\psncc32.exe" [2004-08-19 08:42]
"trivisls"="C:\WINDOWS\system32\sdvlibswr.exe" [2004-08-19 08:42]
"nbkarts"="C:\WINDOWS\system32\filsemd.exe" [2004-08-19 08:42]
"vtdlpse"="C:\WINDOWS\system32\vmddnst.exe" [2004-08-19 08:42]
"Sony Ericsson PC Suite"="C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-05-28 10:14]
"Adobe Photo Downloader"="C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-07-14 15:09]
"TkBellExe"="C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" [2007-09-22 00:28]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 08:42]
"isrdmcc"="KB02937368.exe" []
"rtksw32"="C:\WINDOWS\system32\schggqzm.exe" [2004-08-19 08:42]
"lcuise"="C:\WINDOWS\system32\eddesp.exe" [2004-08-19 08:42]
"adlhidp"="C:\WINDOWS\system32\psncc32.exe" [2004-08-19 08:42]
"trivisls"="C:\WINDOWS\system32\sdvlibswr.exe" [2004-08-19 08:42]
"nbkarts"="C:\WINDOWS\system32\filsemd.exe" [2004-08-19 08:42]
"vtdlpse"="C:\WINDOWS\system32\vmddnst.exe" [2004-08-19 08:42]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-02-27 11:39]

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\system]
"DisableRegistryTools"=0 (0x0)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 12:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-02-27 11:39 282624 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\kav]
"C:\Archivos de programa2\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Archivos de programa\Messenger\msmsgs.exe" /background

S3 s115bus;Sony Ericsson Device 115 driver (WDM);C:\WINDOWS\system32\DRIVERS\s115bus.sys
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s115mdfl.sys
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s115mdm.sys
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s115mgmt.sys
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s115obex.sys
S3 s125bus;Sony Ericsson Device 125 driver (WDM);C:\WINDOWS\system32\DRIVERS\s125bus.sys
S3 s125mdfl;Sony Ericsson Device 125 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s125mdfl.sys
S3 s125mdm;Sony Ericsson Device 125 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s125mdm.sys
S3 s125mgmt;Sony Ericsson Device 125 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s125mgmt.sys
S3 s125obex;Sony Ericsson Device 125 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s125obex.sys
S3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS

.
************************************************** ************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-23 00:46:39
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************** ************************
.
Completion time: 2007-09-23 0:50:47 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-09-23 00:50
.
--- E O F ---


REPORTE DE HIJACKTHIS .:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:55:40 a.m., on 23/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa2\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa2\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa2\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Archivos de programa2\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa2\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa2\Alwil Software\Avast4\setup\avast.setup
C:\Archivos de programa2\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Archivos de programa2\Alwil Software\Avast4\ashDisp.exe
C:\WINDOWS\system32\schggqzm.exe
C:\WINDOWS\system32\eddesp.exe
C:\WINDOWS\system32\psncc32.exe
C:\WINDOWS\system32\sdvlibswr.exe
C:\WINDOWS\system32\filsemd.exe
C:\WINDOWS\system32\vmddnst.exe
C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://prodigy.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-mx\msntb.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Archivos de programa\Styler\TB\StylerTB.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: T1msn - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-mx\msntb.dll
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa2\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] "C:\Archivos de programa2\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [isrdmcc] KB02937368.exe
O4 - HKLM\..\Run: [rtksw32] C:\WINDOWS\system32\schggqzm.exe
O4 - HKLM\..\Run: [lcuise] C:\WINDOWS\system32\eddesp.exe
O4 - HKLM\..\Run: [adlhidp] C:\WINDOWS\system32\psncc32.exe
O4 - HKLM\..\Run: [trivisls] C:\WINDOWS\system32\sdvlibswr.exe
O4 - HKLM\..\Run: [nbkarts] C:\WINDOWS\system32\filsemd.exe
O4 - HKLM\..\Run: [vtdlpse] C:\WINDOWS\system32\vmddnst.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [isrdmcc] KB02937368.exe
O4 - HKCU\..\Run: [rtksw32] C:\WINDOWS\system32\schggqzm.exe
O4 - HKCU\..\Run: [lcuise] C:\WINDOWS\system32\eddesp.exe
O4 - HKCU\..\Run: [adlhidp] C:\WINDOWS\system32\psncc32.exe
O4 - HKCU\..\Run: [trivisls] C:\WINDOWS\system32\sdvlibswr.exe
O4 - HKCU\..\Run: [nbkarts] C:\WINDOWS\system32\filsemd.exe
O4 - HKCU\..\Run: [vtdlpse] C:\WINDOWS\system32\vmddnst.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa2\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa2\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa2\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa2\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa2\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 6667 bytes


GRACIAS POR EL SEGUIMIENTO QUE PUEDAN DAR A MI PROBLEMA ( TOTOUR.EXE Y LO QUE REFLEJEN LOS REPORTES ...

PD .: LO NEGRO O INTENSIDAD DE LOS TEXTOS MERAMENTE ERA SOLO PARA RESALTAR ALGUNOS PUNTOS ... NO FUE CON MOTIVO DE " GRITAR " NO VOLVERA A SUCEDER ... GRACIAS

Bueno, creo que no se entendió mi mensaje:

Me refiero a las mayúsculas, te recomiendo la lectura de este enlace.

Ahora veamos ese log, sigue estos pasos:

1.- Descarga y ejecuta la herramienta VundoFix

2.- Apaga el "Restaurar Sistema"

3.- Activa la opción Ver Archivos Ocultos

4.- Reinicia en Modo a Prueba de Fallos

5.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

O4 - HKLM\..\Run: [isrdmcc] KB02937368.exe
O4 - HKLM\..\Run: [rtksw32] C:\WINDOWS\system32\schggqzm.exe
O4 - HKLM\..\Run: [lcuise] C:\WINDOWS\system32\eddesp.exe
O4 - HKLM\..\Run: [adlhidp] C:\WINDOWS\system32\psncc32.exe
O4 - HKLM\..\Run: [trivisls] C:\WINDOWS\system32\sdvlibswr.exe
O4 - HKLM\..\Run: [nbkarts] C:\WINDOWS\system32\filsemd.exe
O4 - HKLM\..\Run: [vtdlpse] C:\WINDOWS\system32\vmddnst.exe

O4 - HKCU\..\Run: [isrdmcc] KB02937368.exe
O4 - HKCU\..\Run: [rtksw32] C:\WINDOWS\system32\schggqzm.exe
O4 - HKCU\..\Run: [lcuise] C:\WINDOWS\system32\eddesp.exe
O4 - HKCU\..\Run: [adlhidp] C:\WINDOWS\system32\psncc32.exe
O4 - HKCU\..\Run: [trivisls] C:\WINDOWS\system32\sdvlibswr.exe
O4 - HKCU\..\Run: [nbkarts] C:\WINDOWS\system32\filsemd.exe
O4 - HKCU\..\Run: [vtdlpse] C:\WINDOWS\system32\vmddnst.exe

6.- Sin reiniciar, busca y elimina estos archivos, si aún los encuentras. Si no se dejan eliminar descarga el programa FileASSASIN y sigue las indicaciones del mensaje, para eliminar estos archivos:

C:\WINDOWS\system32\totour.exe
KB02937368.exe
C:\WINDOWS\system32\schggqzm.exe
C:\WINDOWS\system32\eddesp.exe
C:\WINDOWS\system32\psncc32.exe
C:\WINDOWS\system32\sdvlibswr.exe
C:\WINDOWS\system32\filsemd.exe
C:\WINDOWS\system32\vmddnst.exe

7.- Pasa el Ccleaner y siguiendo los pasos de su manual utiliza las opciones Limpiador y Registro.

8.- Descarga el Super Antispyware y realiza un escaneo con el, luego instala SpywareBlaster

9.- Reinicia la máquina y realiza un escaneo con Ewido Online, luego pega otro log de Hijackthis y nos cuentas como te fue.

10.- Deshaz los pasos 2 y 3.

De preferencia imprime las indicaciones para que se te haga mas facil seguirlas.

Saludos

Salu2 Gpastor ...

Realice todos los puntos sugeridos y en el orden establecido correctamente ( al parecer )

En el punto de scan on-line con E-wido, lo realice con AVG Anti-spyware ( en la pagina dice que es lo mismo pues utiliza las mismas bases de tecnologia ) si me detecto un Trojan, pero fue eliminado y puesto en cuarentena correctamente ...

SIN EMBARGO.: lamentablemente todavia tengo el Virus TOTOUR.EXE pues sigue apareciendo ( dentro de System32 ) utilice FileASSASSIN para eliminarlo, pero sigue reapareciendo ...

Este es el nuevo LOG de HIJACKTHIS resultante despues de haber realizado los procedimientos sugeridos ...


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:44:14 p.m., on 28/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa2\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa2\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa2\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Archivos de programa2\Alwil Software\Avast4\ashDisp.exe
C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\schggqzm.exe
C:\WINDOWS\system32\eddesp.exe
C:\WINDOWS\system32\psncc32.exe
C:\WINDOWS\system32\sdvlibswr.exe
C:\WINDOWS\system32\filsemd.exe
C:\WINDOWS\system32\vmddnst.exe
C:\Archivos de programa2\Alwil Software\Avast4\setup\avast.setup
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa2\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Archivos de programa2\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa2\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://prodigy.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-mx\msntb.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Archivos de programa\Styler\TB\StylerTB.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: T1msn - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-mx\msntb.dll
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa2\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] "C:\Archivos de programa2\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [rtksw32] C:\WINDOWS\system32\schggqzm.exe
O4 - HKLM\..\Run: [nbkarts] C:\WINDOWS\system32\filsemd.exe
O4 - HKLM\..\Run: [vtdlpse] C:\WINDOWS\system32\vmddnst.exe
O4 - HKLM\..\Run: [adlhidp] C:\WINDOWS\system32\psncc32.exe
O4 - HKLM\..\Run: [trivisls] C:\WINDOWS\system32\sdvlibswr.exe
O4 - HKLM\..\Run: [lcuise] C:\WINDOWS\system32\eddesp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [rtksw32] C:\WINDOWS\system32\schggqzm.exe
O4 - HKCU\..\Run: [lcuise] C:\WINDOWS\system32\eddesp.exe
O4 - HKCU\..\Run: [adlhidp] C:\WINDOWS\system32\psncc32.exe
O4 - HKCU\..\Run: [trivisls] C:\WINDOWS\system32\sdvlibswr.exe
O4 - HKCU\..\Run: [nbkarts] C:\WINDOWS\system32\filsemd.exe
O4 - HKCU\..\Run: [vtdlpse] C:\WINDOWS\system32\vmddnst.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa2\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa2\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa2\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa2\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa2\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 6725 bytes

Gracias por el seguimiento que puedas dar a mi problema ...

Atte.: Victor

El log aún muestra infecciones, sigue estos pasos:

- Presiona las teclas CTRL+ALT+SUPR esto abrirá el Administrador de Procesos, ve a la pestaña Procesos, busca el archivo schggqzm.exe, si lo encuentras, selecciónalo y presiona el botón Terminar Proceso. Repite esto con estos procesos:

• eddesp.exe
• psncc32.exe
• sdvlibswr.exe
• filsemd.exe
• vmddnst.exe
• totour.exe

- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

O4 - HKLM\..\Run: [rtksw32] C:\WINDOWS\system32\schggqzm.exe
O4 - HKLM\..\Run: [nbkarts] C:\WINDOWS\system32\filsemd.exe
O4 - HKLM\..\Run: [vtdlpse] C:\WINDOWS\system32\vmddnst.exe
O4 - HKLM\..\Run: [adlhidp] C:\WINDOWS\system32\psncc32.exe
O4 - HKLM\..\Run: [trivisls] C:\WINDOWS\system32\sdvlibswr.exe
O4 - HKLM\..\Run: [lcuise] C:\WINDOWS\system32\eddesp.exe

O4 - HKCU\..\Run: [rtksw32] C:\WINDOWS\system32\schggqzm.exe
O4 - HKCU\..\Run: [lcuise] C:\WINDOWS\system32\eddesp.exe
O4 - HKCU\..\Run: [adlhidp] C:\WINDOWS\system32\psncc32.exe
O4 - HKCU\..\Run: [trivisls] C:\WINDOWS\system32\sdvlibswr.exe
O4 - HKCU\..\Run: [nbkarts] C:\WINDOWS\system32\filsemd.exe
O4 - HKCU\..\Run: [vtdlpse] C:\WINDOWS\system32\vmddnst.exe

- Ejecuta la herramienta ComboFix

- Si aún los encuentras, busca y elimina estos archivos:

C:\WINDOWS\system32\schggqzm.exe
C:\WINDOWS\system32\eddesp.exe
C:\WINDOWS\system32\psncc32.exe
C:\WINDOWS\system32\sdvlibswr.exe
C:\WINDOWS\system32\filsemd.exe
C:\WINDOWS\system32\vmddnst.exe
C:\WINDOWS\system32\totour.exe

Si no se dejan eliminar utiliza FileASSASSIN

- Limpia el registro con Ccleaner

- Reinicia el sistema y ejecuta nuevamente ComboFix e Hijackthis luego pegas un nuevo log de cada uno de ellos.

Saludos

Salu2 Gpastor ...

he realizado correctamente los procedimientos que me sugeriste, para el problema que tengo con el VIRUS TOTOUR.EXE ...

pongo los ultimos logs obtenidos de.: Combofix y Hijackthis ...

Log de Combofix .:

ComboFix 07-09-21.2 - "Victor" 2007-10-01 2:00:53.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.215 [GMT -5:00]
.

(((((((((((((((((( Archivos creados desde 2007-09-01 - 2007-10-01 )))))))))))))))))))))))))))))))))
.

2007-10-01 00:57 12,416 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys
2007-10-01 00:57 12,416 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2007-10-01 00:56 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys
2007-10-01 00:56 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2007-09-28 15:10 <DIR> d-------- C:\WEB
2007-09-28 15:07 118,784 --a------ C:\WINDOWS\system32\MSSTDFMT.DLL
2007-09-28 15:07 <DIR> d-------- C:\VundoFix Backups
2007-09-28 15:07 <DIR> d-------- C:\Archivos de programa\SpywareBlaster
2007-09-23 22:50 <DIR> d---s---- C:\DOCUME~1\Administrador\UserData
2007-09-23 22:40 <DIR> d---s---- C:\DOCUME~1\Victor\UserData
2007-09-23 01:56 <DIR> d-------- C:\DOCUME~1\Victor\DATOSD~1\Leadertech
2007-09-22 22:56 <DIR> d-------- C:\DOCUME~1\Administrador\Datos de programa\Teleca
2007-09-22 22:56 <DIR> d-------- C:\DOCUME~1\Administrador\Datos de programa\Sony Ericsson
2007-09-22 22:48 <DIR> d-------- C:\DOCUME~1\Administrador\Datos de programa\SUPERAntiSpyware.com
2007-09-22 19:52 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-22 04:22 <DIR> d-------- C:\DOCUME~1\Victor\DATOSD~1\SUPERAntiSpyware.com
2007-09-22 04:22 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\SUPERAntiSpyware.com
2007-09-22 04:22 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2007-09-22 03:50 <DIR> d-------- C:\HijackThis
2007-09-22 02:24 <DIR> dr------- C:\DOCUME~1\Administrador\Men£ Inicio
2007-09-22 02:24 <DIR> dr------- C:\DOCUME~1\Administrador\Datos de programa
2007-09-22 02:24 <DIR> d--h----- C:\DOCUME~1\Administrador\Configuraci¢n local
2007-09-22 02:24 <DIR> d-------- C:\DOCUME~1\Administrador\Plantillas
2007-09-22 02:24 <DIR> d-------- C:\DOCUME~1\Administrador\Mis documentos
2007-09-22 02:24 <DIR> d-------- C:\DOCUME~1\Administrador\Impresoras
2007-09-22 02:24 <DIR> d-------- C:\DOCUME~1\Administrador\Favoritos
2007-09-22 02:24 <DIR> d-------- C:\DOCUME~1\Administrador\Escritorio
2007-09-22 02:24 <DIR> d-------- C:\DOCUME~1\Administrador\Entorno de red
2007-09-22 00:28 <DIR> d-------- C:\Archivos de programa\Real
2007-09-22 00:28 <DIR> d-------- C:\Archivos de programa\Archivos comunes\xing shared
2007-09-22 00:28 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Real
2007-09-22 00:25 <DIR> d-------- C:\DOCUME~1\Victor\DATOSD~1\Real
2007-09-18 13:20 98,568 -ra------ C:\WINDOWS\system32\drivers\s115obex.sys
2007-09-18 13:20 83,208 -ra------ C:\WINDOWS\system32\drivers\s115bus.sys
2007-09-18 13:20 15,112 -ra------ C:\WINDOWS\system32\drivers\s115mdfl.sys
2007-09-18 13:20 12,424 -ra------ C:\WINDOWS\system32\drivers\s115whnt.sys
2007-09-18 13:20 12,424 -ra------ C:\WINDOWS\system32\drivers\s115wh.sys
2007-09-18 13:20 12,424 -ra------ C:\WINDOWS\system32\drivers\s115cmnt.sys
2007-09-18 13:20 12,424 -ra------ C:\WINDOWS\system32\drivers\s115cm.sys
2007-09-18 13:20 108,680 -ra------ C:\WINDOWS\system32\drivers\s115mdm.sys
2007-09-18 13:20 100,488 -ra------ C:\WINDOWS\system32\drivers\s115mgmt.sys
2007-09-17 20:09 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Yahoo! Companion
2007-09-17 02:16 <DIR> d-------- C:\Archivos de programa\FileASSASSIN
2007-09-17 00:47 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2007-09-17 00:05 45,836 --a------ C:\1rsd.exe
2007-09-16 05:03 <DIR> d-------- C:\Archivos de programa\Yahoo!
2007-09-16 05:02 <DIR> d-------- C:\Archivos de programa\CCleaner
2007-09-12 15:29 <DIR> d-------- C:\Archivos de programa\Disc2Phone
2007-09-12 15:17 <DIR> d-------- C:\WINDOWS\system32\URTTemp
2007-09-12 15:00 <DIR> d-------- C:\DOCUME~1\Victor\DATOSD~1\AdobeUM
2007-09-12 14:18 98,696 -ra------ C:\WINDOWS\system32\drivers\s125obex.sys
2007-09-12 14:18 100,488 -ra------ C:\WINDOWS\system32\drivers\s125mgmt.sys
2007-09-12 14:11 83,336 -ra------ C:\WINDOWS\system32\drivers\s125bus.sys
2007-09-12 14:11 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2007-09-12 14:11 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2007-09-12 14:11 15,112 -ra------ C:\WINDOWS\system32\drivers\s125mdfl.sys
2007-09-12 14:11 12,424 -ra------ C:\WINDOWS\system32\drivers\s125whnt.sys
2007-09-12 14:11 12,424 -ra------ C:\WINDOWS\system32\drivers\s125wh.sys
2007-09-12 14:11 12,424 -ra------ C:\WINDOWS\system32\drivers\s125cmnt.sys
2007-09-12 14:11 12,424 -ra------ C:\WINDOWS\system32\drivers\s125cm.sys
2007-09-12 14:11 108,680 -ra------ C:\WINDOWS\system32\drivers\s125mdm.sys
2007-09-12 14:11 <DIR> d-------- C:\DOCUME~1\Victor\DATOSD~1\Teleca
2007-09-12 13:57 <DIR> d-------- C:\DOCUME~1\Victor\DATOSD~1\Sony Ericsson
2007-09-12 13:56 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Teleca Shared
2007-09-12 13:56 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Sony Ericsson Shared
2007-09-12 13:55 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Teleca
2007-09-12 13:55 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Sony Ericsson
2007-09-11 14:33 1,354 --a------ C:\WINDOWS\mozver.dat
2007-09-10 15:55 0 --a------ C:\WINDOWS\system32\ntkrpamp.exe
2007-09-10 15:55 0 --a------ C:\WINDOWS\system32\ntkrnlmp.exe
2007-09-10 00:28 <DIR> d-------- C:\DOCUME~1\Victor\DATOSD~1\Opera
2007-09-10 00:28 <DIR> d-------- C:\Archivos de programa3
2007-09-07 12:47 72,954 --a------ C:\WINDOWS\yrfefef.exe
2007-09-07 12:47 72,438 --a------ C:\WINDOWS\uygregtrds.exe
2007-09-07 12:47 71,401 --a------ C:\WINDOWS\ewtrefe.exe
2007-09-07 12:47 71,352 --a------ C:\WINDOWS\wewfgrtr.exe
2007-09-07 12:47 70,965 --a------ C:\WINDOWS\tfgtrere.exe
2007-09-07 12:47 45,102 --a------ C:\WINDOWS\debgfrfd.exe
2007-09-07 11:44 <DIR> d-------- C:\DOCUME~1\Victor\Contacts
2007-09-07 11:43 57,856 --a------ C:\WINDOWS\system32\dgsetu.dll
2007-09-07 11:43 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-09-06 10:31 <DIR> d-------- C:\Archivos de programa\Ares
2007-09-06 09:57 0 --a------ C:\WINDOWS\nsreg.dat
2007-09-06 03:06 94,416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-09-06 03:06 92,848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-09-06 03:06 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-09-06 03:06 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-09-06 03:06 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-09-06 03:05 95,608 --a------ C:\WINDOWS\system32\AVASTSS.scr
2007-09-06 03:05 783,224 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-09-06 03:05 499,712 --a------ C:\WINDOWS\system32\MSVCP71.dll
2007-09-06 03:05 348,160 --a------ C:\WINDOWS\system32\MSVCR71.dll
2007-09-06 03:05 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2007-09-06 01:59 24,661 --a--c--- C:\WINDOWS\system32\dllcache\spxcoins.dll
2007-09-06 01:59 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll
2007-09-06 01:59 13,312 --a--c--- C:\WINDOWS\system32\dllcache\irclass.dll
2007-09-06 01:59 13,312 --a------ C:\WINDOWS\system32\irclass.dll
2007-09-05 23:42 <DIR> d-------- C:\DOCUME~1\Victor\DATOSD~1\COWON
2007-09-05 02:04 <DIR> d-------- C:\Archivos de programa\MSN Apps
2007-09-05 02:03 <DIR> d-------- C:\Archivos de programa\MSN Messenger

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2007-09-10 12:44 2275818 --a------ C:\WINDOWS\system32\ntoskrnl.exe
2007-09-10 12:44 2151658 --a------ C:\WINDOWS\system32\ntkrnlpa.exe
2007-09-03 00:39 --------- d-------- C:\Archivos de programa\microsoft frontpage
2007-09-03 00:34 --------- d-------- C:\Archivos de programa\Archivos comunes\MSSoap
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2001-11-22 23:08 712704 --a------ C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
--------- C:\Archivos de programa\Servicios en línea
.

((((((((((((((((((((((((((((( snapshot_2007-09-23_ 04957.67 )))))))))))))))))))))))))))))))))))))))))
.
----a-w 345,656 2006-07-11 14:41:36 C:\WINDOWS\Downloaded Program Files\ewidoOnlineScan.dll
----atw 16,384 2007-10-01 06:58:36 C:\WINDOWS\Temp\Perflib_Perfdata_588.dat
.
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.

*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 05:15]
"!AVG Anti-Spyware"="C:\Archivos de programa2\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-09-04 03:03]
"avast!"="C:\Archivos de programa2\Alwil Software\Avast4\ashDisp.exe" [2007-07-27 17:03]
"Sony Ericsson PC Suite"="C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-05-28 10:14]
"Adobe Photo Downloader"="C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-07-14 15:09]
"TkBellExe"="C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" [2007-09-22 00:28]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 08:42]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-02-27 11:39]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 12:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-02-27 11:39 282624 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\isrdmcc]
KB02937368.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\kav]
"C:\Archivos de programa2\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Archivos de programa\Messenger\msmsgs.exe" /background

S3 s115bus;Sony Ericsson Device 115 driver (WDM);C:\WINDOWS\system32\DRIVERS\s115bus.sys
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s115mdfl.sys
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s115mdm.sys
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s115mgmt.sys
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s115obex.sys
S3 s125bus;Sony Ericsson Device 125 driver (WDM);C:\WINDOWS\system32\DRIVERS\s125bus.sys
S3 s125mdfl;Sony Ericsson Device 125 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s125mdfl.sys
S3 s125mdm;Sony Ericsson Device 125 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s125mdm.sys
S3 s125mgmt;Sony Ericsson Device 125 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s125mgmt.sys
S3 s125obex;Sony Ericsson Device 125 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s125obex.sys
S3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS

.
************************************************** ************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-01 02:02:45
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************** ************************
.
Completion time: 2007-10-01 2:04:04
C:\ComboFix-quarantined-files.txt ... 2007-10-01 02:03
C:\ComboFix2.txt ... 2007-10-01 01:26
C:\ComboFix3.txt ... 2007-09-23 00:50
.
--- E O F ---



Log de Hijackthis .:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:20:21 a.m., on 01/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa2\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa2\Alwil Software\Avast4\ashServ.exe
C:\Archivos de programa2\Alwil Software\Avast4\ashDisp.exe
C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa2\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://prodigy.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-mx\msntb.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Archivos de programa\Styler\TB\StylerTB.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: T1msn - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-mx\msntb.dll
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa2\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] "C:\Archivos de programa2\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa2\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa2\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa2\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa2\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa2\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 5400 bytes

Gracias por el seguimiento de mi problema ...

( En determinado momento si, sigo con los mismos problemas ... ¿ tendre que formatear la pc, y reinstalar nuevamente el sistema operativo ? ¿ al formatear se elimina toda traza de virus ? ) es una duda que tengo solamente ... gracias nuevamente ...

El log de Hijackthis está limpio, pero ComboFix muestra aún algunos archivos sospechosos:

- Reinicia en Modo Seguro

- Busca y elimina estos archivos:

C:\WINDOWS\yrfefef.exe
C:\WINDOWS\uygregtrds.exe
C:\WINDOWS\ewtrefe.exe
C:\WINDOWS\wewfgrtr.exe
C:\WINDOWS\tfgtrere.exe
C:\WINDOWS\debgfrfd.exe

Si no se dejan eliminar utiliza el programa FileASSASIN

Este archivo lo desconozco:

C:\WINDOWS\system32\dgsetu.dll

Para descartar que se trate de un malware sube ese archivo a la página de VirusTotal y pega el reporte en este mismo mensaje para su análisis.

El formateo elimina todos los archivos incluyendo archivos de sistema y archivos personales, por lo que la infección se elimina también.

Seguimos pendientes.

Saludos

Saludos Gpastor

1) Reinicie en Modo Seguro

2) elimine los archivos siguientes:

C:\WINDOWS\yrfefef.exe
C:\WINDOWS\uygregtrds.exe
C:\WINDOWS\ewtrefe.exe
C:\WINDOWS\wewfgrtr.exe
C:\WINDOWS\tfgtrere.exe
C:\WINDOWS\debgfrfd.exe

no fue necesario utilizar el programa FileASSASIN

4) Subi el archivo dgsetu.dll a la página de VirusTotal para su análisis.

el reporte obtenido es el siguiente.:

Virus Total


Análisis del archivo dgsetu.dll recibido el 02.10.2007 18:48:34 (CET)

Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO

Resultado: 11/32 (34.38%)

Cargando información del servidor..

Su archivo se encuentra encolado en la posición: ___.
Se estima que tendrá que esperar entre ___ y ___
hasta el comienzo del análisis.
No cierre la ventana hasta se haya completado el análisis.
El analizador que estaba procesando su muestra se encuentra detenido,
se va a esperar unos segundos por si fuera posible recuperar el resultado.
Si lleva esperando varios minutos necesitará reenviar su archivo de nuevo.
Su archivo está siendo analizado por VirusTotal en estos momentos,
los resultados se iran mostrando a continuación.


Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2007.10.3.0 2007.10.02 -
AntiVir 7.6.0.18 2007.10.02 TR/Drop.BHO.QG.1
Authentium 4.93.8 2007.10.02 -
Avast 4.7.1043.0 2007.10.02 Win32:Delf-FNP
AVG 7.5.0.488 2007.10.02 BHO.AWZ
BitDefender 7.2 2007.10.02 -
CAT-QuickHeal 9.00 2007.10.02 -
ClamAV 0.91.2 2007.10.02 -
DrWeb 4.44.0.09170 2007.10.02 Trojan.Sentinel
eSafe 7.0.15.0 2007.10.01 -
eTrust-Vet 31.2.5179 2007.10.02 -
Ewido 4.0 2007.10.02 -
FileAdvisor 1 2007.10.02 -
Fortinet 3.11.0.0 2007.10.02 -
F-Prot 4.3.2.48 2007.10.01 -
F-Secure 6.70.13030.0 2007.10.02 Rootkit.Win32.Podnuha.d
Ikarus T3.1.1.12 2007.10.02 -
Kaspersky 7.0.0.125 2007.10.02 Rootkit.Win32.Podnuha.d
McAfee 5132 2007.10.02 -
Microsoft 1.2803 2007.10.02 -
NOD32v2 2566 2007.10.02 -
Norman 5.80.02 2007.10.02 W32/BHO.QG
Panda 9.0.0.4 2007.10.02 Trj/Agent.GNY
Prevx1 V2 2007.10.02 -
Rising 19.43.10.00 2007.10.02 -
Sophos 4.22.0 2007.10.02 -
Sunbelt 2.2.907.0 2007.10.02 Rootkit.Win32.Podnuha.d
Symantec 10 2007.10.02 Downloader
TheHacker 6.2.6.075 2007.10.01 -
VBA32 3.12.2.4 2007.10.02 -
VirusBuster 4.3.26:9 2007.10.01 -
Webwasher-Gateway 6.0.1 2007.10.02 Trojan.Drop.BHO.QG.1


Información adicional

Tamaño archivo: 57856 bytes

MD5: 701108b903218ab3d7c7ff27774c3f1e
SHA1: d9bb26f97be167fe6a3506d6d90a0d33405ce48a

packers: Morphine
packers: Morphine

y el ultimo log de hijackthis es este.:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:14:38 p.m., on 2/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Intern