hola a todos
miren ayer el nod32 me detecto un virus que me decia que no lo podia eliminar, salia etiquetado como win32/adware.virtumonde, le pase el spybot, ad-aware y avg anti spyware y no entontraron nada, el nod me lo detecta pero no me lo elimina, luego pase el vundofix que encontro el vundo y otros 5 masn y elimino todos los nuevos pero no el que me decia el nod32, ya nose que hacer, aca dejo mi log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:53:16, on 24-09-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\GRISOFT\AVG Anti-Spyware 7.5\avgas.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = ...:: FoUrNiEs ::...
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 58.216.233.166:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\GRISOFT\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\ilcwpuui.dll",sitypnow
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} - http://messenger.zone.msn.com/NL-BE/a-UNO1/GAME_UNO1.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallShield Licensing Service - Macrovision - C:\Archivos de programa\Archivos comunes\InstallShield Shared\Service\InstallShield Licensing Service.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5072 bytes

ayuda!!

Hola, sigue estos pasos:

Sigue estos pasos:

1.- Descarga y ejecuta la herramienta VundoFix

2.- Apaga el "Restaurar Sistema"

3.- Activa la opción Ver Archivos Ocultos

4.- Reinicia en Modo a Prueba de Fallos

5.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a esta entrada:

O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\ilcwpuui.dll",sitypnow

6.- Sin reiniciar, busca y elimina estos archivos, si aún los encuentras. Si no se dejan eliminar descarga el programa FileASSASIN y sigue las indicaciones del mensaje, para eliminar estos archivos:

C:\WINDOWS\system32\ilcwpuui.dll

7.- Pasa el Ccleaner y siguiendo los pasos de su manual utiliza las opciones Limpiador y Registro.

8.- Descarga el Super Antispyware y realiza un escaneo con el, luego instala SpywareBlaster

9.- Reinicia la máquina y realiza un escaneo con Ewido Online, luego pega otro log de Hijackthis y nos cuentas como te fue.

10.- Deshaz los pasos 2 y 3.

De preferencia imprime las indicaciones para que se te haga mas facil seguirlas.

Saludos

hola, gracias por responderme

mira hice todos los pasos que me diste y al parecer se borro el archivo, el superantispyware y el ewido no me detectaron nada, pero el nod32 sigue detectando el virus, lo inetente eliminar cn el FileASSASIN pero nada, aca adjunto una foto


el hijackthis en modo seguro me mostraba los BHO pero en modo normal no los muestra, el virus los camufla??
aca va el log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:39:11, on 25-09-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\mHotkey.exe
C:\Archivos de programa\GRISOFT\AVG Anti-Spyware 7.5\avgas.exe
C:\Archivos de programa\HijackThis\HijackThis.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = ...:: FoUrNiEs ::...
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 58.216.233.166:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\GRISOFT\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} - http://messenger.zone.msn.com/NL-BE/a-UNO1/GAME_UNO1.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallShield Licensing Service - Macrovision - C:\Archivos de programa\Archivos comunes\InstallShield Shared\Service\InstallShield Licensing Service.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4949 bytes


ayuda!!!

- Descarga la herramienta ComboFix y guárdala en tu escritorio.
Haz doble clic en el archivo combofix.exe y sigue los avisos.
Cuando termine este generará un reporte que tendrías que pegar en este mismo mensaje.

Nota* Puede que algunos Antivirus como Panda detecten un falso positivo en ComboFix pero no hay que preocuparse por esto.

Reinicia la máquina, pega un nuevo log de Hijackthis y uno de ComboFix, luego nos comentas los resultados.

Saludos

hola gracias por responderme

mira use el com,bofix y parece que elimino alfin el virus porque lo busco y ya no esta y el nod32 ya no lo detecta
aca esta el log del combo fix

ComboFix 07-09-21.2 - "Administrador" 2007-09-26 21:36:17.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.34.3082.18.85 [GMT -4:00]
Se super¢ el tiempo de ejecuci¢n de la secuencia de comandos "C:\ComboFix\restore_pt.vbs".
Termin¢ la ejecuci¢n de la secuencia.
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\check_LSA7.txt
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\hhkmp.bak1
C:\WINDOWS\system32\hhkmp.ini
C:\WINDOWS\system32\ilkkj.bak1
C:\WINDOWS\system32\ilkkj.ini
C:\WINDOWS\system32\jijlm.bak1
C:\WINDOWS\system32\jijlm.ini
C:\WINDOWS\system32\khfcyww.dll
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\xacdd.bak1
C:\WINDOWS\system32\xacdd.ini

.
((((((((((((((((((((((((( Files Created from 2007-08-27 to 2007-09-27 )))))))))))))))))))))))))))))))
.

2007-09-26 16:57 84,032 --a------ C:\WINDOWS\system32\yfbkdvsp.dll
2007-09-26 16:44 313,952 --a------ C:\WINDOWS\system32\mljij.dll
2007-09-25 20:33 321,632 --a------ C:\WINDOWS\system32\pmkhh.dll
2007-09-25 16:57 84,032 --a------ C:\WINDOWS\system32\jmrjmclu.dll
2007-09-25 16:48 321,632 --a------ C:\WINDOWS\system32\jkkli.dll
2007-09-25 10:14 6,448 ---hs---- C:\WINDOWS\system32\nooqr.bak1
2007-09-25 10:13 321,632 --a------ C:\WINDOWS\system32\rqoon.dll
2007-09-25 03:06 <DIR> d-------- C:\Archivos de programa\SpywareBlaster
2007-09-25 02:08 <DIR> d-------- C:\Archivos de programa\FileASSASSIN
2007-09-25 02:07 6,448 ---hs---- C:\WINDOWS\system32\hhhkj.bak1
2007-09-24 20:03 314,464 --a------ C:\WINDOWS\system32\ddcax.dll
2007-09-24 19:28 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-09-24 19:28 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Kaspersky Lab
2007-09-24 02:16 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-24 02:08 320,096 --------- C:\WINDOWS\system32\rqron.dll
2007-09-23 19:56 85,568 --------- C:\WINDOWS\system32\cofmpmyo.dll
2007-09-23 18:03 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-09-23 17:34 183,296 --a------ C:\WINDOWS\system32\T.COM
2007-09-23 17:34 183,296 --a------ C:\WINDOWS\R.COM
2007-09-23 16:34 85,568 --a------ C:\WINDOWS\system32\wcilljxy.dll
2007-09-23 15:58 85,568 --a------ C:\WINDOWS\system32\kvvdhpuh.dll
2007-09-13 16:41 <DIR> d-------- C:\DOCUME~1\ADMINI~1\Contacts
2007-09-12 22:34 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-09-12 19:38 <DIR> d-------- C:\Archivos de programa\Archivos comunes\InstallShield Shared
2007-09-02 17:34 <DIR> d-------- C:\Archivos de programa\UserData
2007-09-02 17:34 <DIR> d-------- C:\Archivos de programa\Music
2007-09-02 16:36 <DIR> d-------- C:\Archivos de programa\Musicnotes
2007-09-01 17:33 501 --a------ C:\WINDOWS\eReg.dat
2007-09-01 17:30 <DIR> d-------- C:\Archivos de programa\GameData
2007-09-01 17:29 <DIR> d-------- C:\Archivos de programa\Maxis
2007-09-01 11:44 38,160 --a------ C:\WINDOWS\system32\LMRTREND.dll
2007-09-01 11:44 182,032 --a------ C:\WINDOWS\system32\dxtmsft3.dll
2007-09-01 11:43 63,488 --a------ C:\WINDOWS\system32\unam4ie.exe
2007-09-01 11:43 4,608 --a------ C:\WINDOWS\system32\w95inf32.dll
2007-09-01 11:43 2,272 --a------ C:\WINDOWS\system32\w95inf16.dll
2007-09-01 11:43 194,320 --a------ C:\WINDOWS\system32\qcut.dll
2007-09-01 11:43 10,240 --a------ C:\WINDOWS\system32\vidx16.dll
2007-09-01 11:39 <DIR> d-------- C:\Archivos de programa\Sierra On-Line
2007-08-29 18:16 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Apple Computer
2007-08-29 18:16 <DIR> d-------- C:\Archivos de programa\QuickTime
2007-08-29 18:14 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Apple
2007-08-29 18:14 <DIR> d-------- C:\Archivos de programa\Apple Software Update
2007-08-28 18:45 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Messenger Plus!
2007-08-28 18:43 <DIR> d-------- C:\Archivos de programa\MessengerPlus! 3
2007-08-27 16:08 <DIR> d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\Media Player Classic
2007-08-26 10:40 <DIR> d-------- C:\WINDOWS\system32\shxfont
2007-08-26 10:40 <DIR> d-------- C:\Archivos de programa\AutoDWG

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2007-09-25 03:13 --------- d-------- C:\Archivos de programa\CCleaner
2007-09-23 16:32 --------- d-------- C:\Archivos de programa\FlashGet
2007-09-23 16:10 --------- d-------- C:\Archivos de programa\sXe Injected
2007-09-12 22:35 --------- d-------- C:\Archivos de programa\MSN Messenger
2007-09-12 20:00 --------- d-------- C:\Archivos de programa\Archivos comunes\InstallShield
2007-09-12 19:36 --------- d-------- C:\Archivos de programa\eMule
2007-09-11 20:36 --------- d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\uTorrent
2007-09-09 18:15 163644 --a------ C:\WINDOWS\system32\drivers\secdrv.sys
2007-09-09 14:53 --------- d--h----- C:\Archivos de programa\InstallShield Installation Information
2007-09-08 23:29 --------- d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Spybot - Search & Destroy
2007-09-02 16:36 1409 --a------ C:\WINDOWS\Fonts.\HELST___.FOT
2007-09-02 16:36 1409 --a------ C:\WINDOWS\Fonts.\HELSS___.FOT
2007-09-02 16:36 1409 --a------ C:\WINDOWS\Fonts.\HELSM___.FOT
2007-09-02 16:36 1409 --a------ C:\WINDOWS\Fonts.\HELSINKI.FOT
2007-08-31 23:04 --------- d-------- C:\Archivos de programa\Guitar Pro 5
2007-08-21 19:27 --------- d-------- C:\Archivos de programa\Ares
2007-08-14 23:17 --------- d-------- C:\Archivos de programa\MSXML 6.0
2007-08-14 23:15 --------- d-------- C:\Archivos de programa\MSXML 4.0
2007-08-12 20:32 --------- d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\Skype
2007-08-11 18:22 --------- d-------- C:\Archivos de programa\DivX
2007-08-11 16:51 --------- d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Skype
2007-08-11 16:51 --------- d-------- C:\Archivos de programa\Skype
2007-08-11 16:51 --------- d-------- C:\Archivos de programa\Archivos comunes\Skype
2007-08-11 12:23 --------- d-------- C:\Archivos de programa\DAEMON Tools
2007-08-11 12:21 --------- d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\WinRAR
2007-07-30 20:10 --------- d-------- C:\Archivos de programa\Archivos comunes\SWF Studio
2007-07-29 14:54 --------- d-------- C:\Archivos de programa\Soldier of Fortune II - Double Helix GOLD
2007-07-29 14:01 --------- d-------- C:\Archivos de programa\Valve
2007-07-27 14:29 --------- d-------- C:\Archivos de programa\Alcohol Soft
2007-07-06 21:29 724992 --a------ C:\WINDOWS\iun6002.exe
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{48D747BB-8129-4B9D-A9E2-116C62F1B781}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B80F7831-0B0E-4EB8-93C6-1B0941B80973}]
2007-09-26 16:45 313952 --a------ C:\WINDOWS\system32\mljij.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BDEE9A41-7A3B-4F41-87D5-10908308C7E7}]
2007-09-25 20:33 321632 --a------ C:\WINDOWS\system32\pmkhh.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CF731531-7B39-4244-8AD9-4D8DEC835BE2}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"nod32kui"="C:\Archivos de programa\Eset\nod32kui.exe" [2007-06-06 23:57]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-03-09 15:29]
"nwiz"="nwiz.exe" [2006-03-09 15:29 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray. dll" [2006-03-09 15:29]
"CHotkey"="mHotkey.exe" [2002-07-05 16:39 C:\WINDOWS\MHOTKEY.exe]
"!AVG Anti-Spyware"="C:\Archivos de programa\GRISOFT\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 05:25]
"SearchIndexer"="C:\WINDOWS\system32\yfbkdvsp. dll" [2007-09-26 16:57]

[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\runonce]
"nltide3"=cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system]
"DisableStatusMessages"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\explorer]
"NoDesktopCleanupWizard"=1 (0x1)
"ForceClassicControlPanel"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer]
"ForceClassicControlPanel"=1 (0x1)
"NoSMHelp"=1 (0x1)
"NoSMConfigurePrograms"=1 (0x1)
"NoSMMyPictures"=1 (0x1)
"NoResolveTrack"=1 (0x1)
"NoResolveSearch"=1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\policies\explorer]
"ForceClassicControlPanel"=1 (0x1)
"NoSMHelp"=1 (0x1)
"NoSMConfigurePrograms"=1 (0x1)
"NoSMMyPictures"=1 (0x1)
"NoResolveTrack"=1 (0x1)
"NoResolveSearch"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Inicio rápido de Adobe Reader.lnk]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ink Monitor]
C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SearchIndexer]
rundll32.exe "C:\WINDOWS\system32\jmrjmclu.dll",sitypnow

R3 DLKRTL;D-Link DFE-528TX PCI Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\DLKRTL.SYS
R3 Eplpdx02;Eplpdx02;\??\C:\WINDOWS\system32\Drivers\ EPLPDX02.SYS
R3 WmBEnum;Logitech Virtual Bus Enumerator Driver;C:\WINDOWS\system32\drivers\WmBEnum.sys
R3 WmXlCore;Logitech WingMan Translation Layer Driver;C:\WINDOWS\system32\drivers\WmXlCore.sys
S3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
S3 WmFilter;Logitech Gaming HID Filter Driver;C:\WINDOWS\system32\drivers\WmFilter.sys
S3 WmVirHid;Logitech Virtual Hid Device Driver;C:\WINDOWS\system32\drivers\WmVirHid.sys

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalService Alerter WebClient LmHosts upnphost SSDPSRV

.
Contents of the 'Scheduled Tasks' folder
"2007-08-29 22:14:57 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Archivos de programa\Apple Software Update\SoftwareUpdate.exe
"2007-09-14 21:15:00 C:\WINDOWS\Tasks\Mantenimiento con 1 clic.job"
- C:\Archivos de programa\TuneUp Utilities 2006\SystemOptimizer.exe
.
************************************************** ************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-26 21:45:32
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************** ************************
.
Completion time: 2007-09-26 21:47:45 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-09-26 21:47
.
--- E O F ---
y aca el del hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:01:39, on 26-09-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\mHotkey.exe
C:\Archivos de programa\GRISOFT\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Archivos de programa\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 58.216.233.166:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\GRISOFT\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\yfbkdvsp.dll",sitypnow
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} - http://messenger.zone.msn.com/NL-BE/a-UNO1/GAME_UNO1.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: InstallShield Licensing Service - Macrovision - C:\Archivos de programa\Archivos comunes\InstallShield Shared\Service\InstallShield Licensing Service.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5096 bytes
P.D la entrada searchindeex, ya la habia eliminado antes y aparecio denuevo con otro archivo, es algo de windows??

saludos y gracias

Pues aún hay una entrada por reparar, sigue estos pasos:

- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a esta entrada:

O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\yfbkdvsp.dll",sitypnow

- Busca y elimina estos archivos:

C:\WINDOWS\system32\yfbkdvsp.dll
C:\WINDOWS\system32\mljij.dll
C:\WINDOWS\system32\pmkhh.dll
C:\WINDOWS\system32\jmrjmclu.dll
C:\WINDOWS\system32\jkkli.dll
C:\WINDOWS\system32\nooqr.bak1
C:\WINDOWS\system32\rqoon.dll
C:\WINDOWS\system32\hhhkj.bak1
C:\WINDOWS\system32\ddcax.dll
C:\WINDOWS\system32\rqron.dll
C:\WINDOWS\system32\cofmpmyo.dll
C:\WINDOWS\system32\wcilljxy.dll
C:\WINDOWS\system32\kvvdhpuh.dll

Si no se dejan eliminar utiliza el programa FileASSASIN

- Copia y pega este código en el Bloc de Notas
Y guarda el archivo como Repara.reg en una ubicación fácil de encontrar.

- Busca el archivo que acabas de crear Repara.reg y dale doble clic, este te pedirá ingresar los datos al registro, deberás Aceptar.

- Reinicia el sistema y pega un nuevo log de ComboFix y uno de Hijackthis.

Saludos