Bueno, el problema es ke este proceso me consume el 99% del procesador dejando sumamente lento el pc (me demoro cerca de 20 min en solo abrir windows y como 5 min para cualkier accion ke haga)
He tratado de scanear con el kapersky pero me dice ke se demorará 20 dias en scanear el pc completo. Probe con spywaredetector y ahora estoy con el troyanhunter, pero aun no he logrado arreglarlo aparte ke se demoran mucho en scanear todo.
Tambien intente eliminarlo manualmente segun lei en el foro eliminando el valor ICQ NET =: "c/windows/winlogon.exe - stealth" bajo la clave HKLM/software/microsoft/windows/currentversion/run pero no existe ese valor ahi.
Ya no se donde mas buscar y no kiero llegar al formateo. plisss ayuda, XD

hola..

inicia la pc en modo seguro con funciones a red y luego realiza lo siguiente:

• Descarga el SilentRunner (dale click con el boton derecho del ratón al enlace y luego en Guardar enlace cómo, Save as o Save Link as....)
  
• Ejecuta el script, al hacerlo, te hará unas preguntas, en dichas preguntas contesta 'No' y 'Si' (en ese orden).
  
• Luego, deberás esperar (aunque parezca que no hace nada) a que te aparezca un mensaje con el botón OK
  
• En la misma carpeta que ejecutes el script aparecerá un archivo llamado Reporte el cual deberás colocarlo aquí (si lo abres o envías antes de ver el mensaje con el botón Ok, no estará completo)

Ten un poquito de paciencia hasta que termine el proceso.

Disculpa la demora pero ya sabes como esta de lento mi pc. Corri el script ke me dijiste pero en un principio me pedia activar el servicio WINDOWS MANAGENT INSTRUMENTATION, despues de activarlo no me hizo ninguna de las preguntas ke me decias, asi ke lo deje toda la noche funcionanado, tampoco me salio la ventana con el boton OK a pesar de ke el archivo de texto no habia cambiado de tamaño desde el dia anterior.
Bueno, esto es lo ke lleva:

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \ {++}
"PCI TV Card Remote Control Applet" = "C:\WINDOWS\713xRMT.exe" [null data]
"AVP" = ""C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"" ["Kaspersky Lab"]
"THGuard" = ""C:\Archivos de programa\TrojanHunter 5.0\THGuard.exe"" ["Mischel Internet Security"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\
{9D180958-497F-44BA-861C-3F1DE24CCBEC}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\ds32gtn.dll" [null data]
{F2698FC8-512A-448C-A559-9A1CA64E4FDF}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "c:\windows\system32\cdfviewg.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extensión de paneo de pantalla del Panel de control"
-> {HKLM...CLSID} = "Extensión de paneo de pantalla del Panel de control"
\InProcServer32\(Default) = "deskpan.dll" [file not found]

Debo hacerlo correr de nuevo?

No se si servira pero al correr el spywaredetector me detecto unos troyanos en estas hkey:

hkey_local_machine\system\currentcontrolset\servic es\proof
hkey_local_machine\system\currentcontrolset\enum\r oot\legacy_proof
hkey_local_machine\system\controlset001\services\p oof
hkey_local_machine\system\controlset001\enum\root\ legacy_proof
hkey_local_machine\system\controlset002\services\p roof
hkey_local_machine\system\controlset002\enum\root\ legacy_proof
hkey_local_machine\system\currentcontrolset\servic es\kpoof
hkey_local_machine\system\currentcontrolset\servic es\kprof

Saludos

realiza lo siguiente:

• Descarga la herramienta ComboFix y guardalo en la carpeta de windows.
• Has doble click en el archivo combofix.exe y sigue los avisos, es IMPORTANTE que para que trabaje correctamente no utilices ninguna otra aplicacion mientras él analiza.
• Cuando termine este generara un reporte el cual debes pegar aqui.
• Nota* Puede que algunos Antivirus como Panda detecten un falso positivo en ComboFix pero no hay que preocuparse por esto.

luego intenta hacer un analisis con el silent y copias aqui los reportes de ambos (combofix y silentrunner)

Bueno, despues de muucho rato, termino el combofix y este es el reporte:

ComboFix 07-10-11.8 - Administrador 2007-10-11 15:43:52.1 - NTFSx86 NETWORK
Se super¢ el tiempo de ejecuci¢n de la secuencia de comandos "C:\ComboFix\osid.vbs".
Termin¢ la ejecuci¢n de la secuencia.
Se ejecuta desde: C:\WINDOWS\ComboFix.exe
.

No es posible tomar privilegios del sistema

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Administrador\Datos de programa\macromedia\Flash Player\#SharedObjects\EZW8Q6JG\www.broadcaster.com
C:\Documents and Settings\Administrador\Datos de programa\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www .broadcaster.com
C:\Documents and Settings\Administrador\Datos de programa\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www .broadcaster.com\settings.sol
C:\WINDOWS\system32\koos.exe
C:\WINDOWS\system32\cdfviewg.dll . . . . Fallo al eliminar

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_POOF
-------\LEGACY_UINTGRFC
-------\kprof
-------\poof
-------\uintgrfc


(((((((((((((((((( Archivos creados desde 2007-09-12 - 2007-10-12 )))))))))))))))))))))))))))))))))
.

2007-10-11 14:27 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-11 13:53 1,522,125 --a------ C:\WINDOWS\ComboFix.exe
2007-10-10 12:29 <DIR> d-------- C:\Archivos de programa\TrojanHunter 5.0
2007-10-10 03:05 63 --a------ C:\WINDOWS\system\SysSD.dll
2007-10-10 02:53 6,144 --a------ C:\WINDOWS\system32\SDEarlyDelete.exe
2007-10-10 02:48 270,336 --a------ C:\WINDOWS\system32\CheckDll.dll
2007-10-10 02:48 67,024 --a------ C:\WINDOWS\system32\CloseAll.exe
2007-10-10 02:47 <DIR> d-------- C:\Archivos de programa\SpywareDetector
2007-10-10 02:47 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2007-10-10 01:15 <DIR> d-------- C:\Archivos de programa\Lavasoft
2007-10-10 01:12 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Lavasoft
2007-10-09 23:55 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2007-10-09 23:35 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-10-09 23:34 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Grisoft
2007-10-09 18:33 <DIR> d-------- C:\audio
2007-10-08 16:59 1,188,375 --a------ C:\WINDOWS\system32\libeay32.dll
2007-10-08 16:59 246,545 --a------ C:\WINDOWS\system32\libssl32.dll
2007-10-08 16:58 741,632 --a------ C:\WINDOWS\system32\bcbtduiv.dat
2007-10-08 16:58 118,528 --a------ C:\WINDOWS\system32\lkiakqla.dat
2007-10-08 16:58 35,584 --a------ C:\WINDOWS\system32\ieyxomvp.dat
2007-10-08 16:58 34,560 --a------ C:\WINDOWS\system32\sjaxxqgf.dat
2007-10-08 16:51 <DIR> d-------- C:\WINDOWS\system32\AppCert
2007-10-08 16:50 94,208 --a------ C:\WINDOWS\system32\cdfviewg.dll
2007-10-08 16:50 37,888 --a------ C:\WINDOWS\system32\ddrawexn.dll
2007-10-08 16:50 17,792 C:\WINDOWS\system32\drivers\kenyetux.dat
2007-10-08 16:50 5,248 C:\WINDOWS\system32\drivers\dktgvpip.dat
2007-10-08 16:49 91,648 --a------ C:\WINDOWS\system32\ds32gtn.dll
2007-10-07 14:18 <DIR> d-------- C:\DS
2007-09-30 22:23 82,061 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-09-30 22:23 81,549 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-09-30 22:22 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab
2007-09-30 22:17 4,096,544 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-09-30 22:17 50,720 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-09-29 18:08 <DIR> d-------- C:\Archivos de programa\WinISO
2007-09-27 17:22 1,627,136 --a------ C:\WINDOWS\system32\fftw3.dll
2007-09-25 15:21 <DIR> d-------- C:\Archivos de programa\Aegisub
2007-09-21 05:41 <DIR> d-------- C:\Archivos de programa\x264
2007-09-21 05:41 576,018 --a------ C:\WINDOWS\system32\x264vfw.dll
2007-09-21 04:02 <DIR> d-------- C:\WINDOWS\MediaCoder
2007-09-21 04:01 <DIR> d-------- C:\Archivos de programa\MediaCoder
2007-09-14 15:35 <DIR> d-------- C:\Archivos de programa\Maxis

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2007-10-09 23:35 6,056 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2007-10-09 23:35 58,160 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-10-09 23:33 --------- d-----w C:\Archivos de programa\Mplayer
2007-10-09 20:07 --------- d-----w C:\Archivos de programa\URUSoft
2007-10-06 18:03 --------- d-----w C:\Documents and Settings\Administrador\Datos de programa\uTorrent
2007-10-05 07:13 --------- d-----w C:\Archivos de programa\NoAdware4
2007-10-01 03:22 --------- d-----w C:\Archivos de programa\Kaspersky Lab
2007-10-01 03:18 --------- d-----w C:\Archivos de programa\Archivos comunes\Kaspersky Lab
2007-09-27 20:46 --------- d-----w C:\Documents and Settings\Administrador\Datos de programa\teamspeak2
2007-09-25 20:23 --------- d-----w C:\Archivos de programa\AviSynth 2.5
2007-09-19 13:51 --------- d-----w C:\Archivos de programa\WinNY
2007-09-14 20:50 12,400 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-09-05 01:37 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2007-09-01 17:20 --------- d-----w C:\Archivos de programa\Project64 1.6
2007-08-24 19:36 --------- d-----w C:\Documents and Settings\Administrador\Datos de programa\BSplayer Pro
2007-08-24 02:52 --------- d-----w C:\Archivos de programa\Google
2007-08-23 22:30 --------- d-----w C:\Documents and Settings\Administrador\Datos de programa\dvdcss
2007-08-19 08:28 --------- d-----w C:\Archivos de programa\Teamspeak2_RC2
2007-08-14 20:56 --------- d-----w C:\Documents and Settings\Administrador\Datos de programa\Media Player Classic
2007-08-14 20:54 --------- d-----w C:\Archivos de programa\Real Alternative
2007-08-14 20:54 --------- d-----w C:\Archivos de programa\Media Player Classic
2007-07-31 16:01 71,120 ----a-w C:\Documents and Settings\Administrador\Datos de programa\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9D180958-497F-44BA-861C-3F1DE24CCBEC}]
2004-08-19 15:42 91648 --a------ C:\WINDOWS\system32\ds32gtn.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F2698FC8-512A-448C-A559-9A1CA64E4FDF}]
2004-08-19 15:41 94208 --a------ c:\windows\system32\cdfviewg.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"PCI TV Card Remote Control Applet"="C:\WINDOWS\713xRMT.exe" [2004-08-31 21:00]
"AVP"="C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-06-28 12:51]
"THGuard"="C:\Archivos de programa\TrojanHunter 5.0\THGuard.exe" [2007-09-09 09:31]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:42]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system]
"DisableStatusMessages"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\explorer]
"ForceClassicControlPanel"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer]
"NoResolveTrack"=1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\policies\explorer]
"NoResolveTrack"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SDNotify]
C:\Archivos de programa\SpywareDetector\SDNotify.dll 2007-08-22 15:25 167936 C:\Archivos de programa\SpywareDetector\SDNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\ARCHIV~1\KASPER~1\KASPER~1.0\adi alhk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Administrador^Menú Inicio^Programas^Inicio^Adobe Gamma.lnk]
path=C:\Documents and Settings\Administrador\Menú Inicio\Programas\Inicio\Adobe Gamma.lnk
backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Administrador^Menú Inicio^Programas^Inicio^Update_0710_KB082149.exe]
path=C:\Documents and Settings\Administrador\Menú Inicio\Programas\Inicio\Update_0710_KB082149.exe
backup=C:\WINDOWS\pss\Update_0710_KB082149.exeStar tup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Update_0710_KB082150.exe]
path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\Update_0710_KB082150.exe
backup=C:\WINDOWS\pss\Update_0710_KB082150.exeComm on Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]
"C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cmaudio]
RunDll32 cmicnfg.cpl,CMICtrlWnd

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Rscmpt]
C:\WINDOWS\system32\Rscmpt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SDAutoLiveupdate]
C:\Archivos de programa\SpywareDetector\LiveUpdateSD.exe -AUTO

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSUSBRG]
C:\WINDOWS\SiSUSBrg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SystemTraySD]
C:\Archivos de programa\SpywareDetector\SDSystemTray.exe -AUTO


[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{d686d458-1833-11dc-8f55-000d87a2b64b}]
Auto\command - H:\fun.xls.exe
AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

.
************************************************** ************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-11 21:05:10
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
PCI TV Card Remote Control Applet = C:\WINDOWS\713xRMT.exe???????????????????????????? ?????????????????????????????????????????????????? ???????????????????????????????w???w????????L???Q? @?????????b?@?X???????????????d???????SAA7130 PCI TV Card Remote Control Receiver???????????????????????U??'@

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
Tiempo completado: 2007-10-12 0:26:59 - machine was rebooted
.
--- E O F ---


Dejare corriendo el silentrunner esta noche ya ke se demora mucho mi pc y espero ke este listo por la mañana.
Saludos

Hola

Seguí los pasos de este tutorial:
Eliminar Vundo \ Winfixer \ Virtuamundo

Luego, peganos un nuevo reporte del ComboFix.


Salu2

Bueno, despues de correr los 4 programas ke decia el enlace, sigue =, no encontraron nada. Apenas pueda posteo los reportes ya ke ahora esta aun mas lento ke antes y se demora mucho en abrir el firefox.

Delpsguard

DelPSGuard v 4.8.0
by www.ForoSpyware.com
Escaneo a las: 12:58:16,33, 12-10-2007
SO: Microsoft Windows XP [Versi¢n 5.1.2600]


»»»»»»»»»»»» Carpetas y Archivos infectados »»»»»»»»»»»»


»»»»»»»»»»»» Programas Malwares »»»»»»»»»»»»


»»»»»»»»»»»» FIN »»»»»»»»»»»»



VUNDOFIX

VundoFix V6.5.9

Checking Java version...

Sun Java not detected
Scan started at 8:55:47 13-10-2007

Listing files found while scanning....

No infected files were found.

VIRTUMUNDOBEGONE


[10/13/2007, 11:43:32] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Administrador\Mis documentos\Mis archivos recibidos\VirtumundoBeGone.exe" )
[10/13/2007, 11:43:37] - Detected System Information:
[10/13/2007, 11:43:37] - Windows Version: 5.1.2600, Service Pack 2
[10/13/2007, 11:43:40] - Current Username: Administrador (Admin)
[10/13/2007, 11:43:40] - Windows is in NORMAL mode.
[10/13/2007, 11:43:40] - Searching for Browser Helper Objects:
[10/13/2007, 11:43:40] - BHO 1: {9D180958-497F-44BA-861C-3F1DE24CCBEC} ()
[10/13/2007, 11:43:40] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/13/2007, 11:43:40] - Checking for HKLM\...\Winlogon\Notify\ds32gtn
[10/13/2007, 11:43:40] - Key not found: HKLM\...\Winlogon\Notify\ds32gtn, continuing.
[10/13/2007, 11:43:40] - BHO 2: {F2698FC8-512A-448C-A559-9A1CA64E4FDF} ()
[10/13/2007, 11:43:40] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/13/2007, 11:43:40] - Checking for HKLM\...\Winlogon\Notify\cdfviewg
[10/13/2007, 11:43:40] - Key not found: HKLM\...\Winlogon\Notify\cdfviewg, continuing.
[10/13/2007, 11:43:40] - Finished Searching Browser Helper Objects
[10/13/2007, 11:43:40] - Finishing up...
[10/13/2007, 11:43:40] - Nothing found! Exiting...

Por ultimo el superantispyware me elimino unas cookies.
Eso seria. Saludos

hola..

los reportes no estan mostrando infeccion, el combofix lo que detecto lo elimino a excepcion de este archivo:
C:\WINDOWS\system32\cdfviewg.dll

realiza lo siguiente:
[b]1.-abre un bloc de notas.

2.- Ahora copia y pega estos archivos dentro del bloc de notas

3.- Graba este archivo con el nombre CFScript.txt

4.- Arrastra y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.



Reinicia y nos contas los resultados. junto con un nuevo reporte de ComboFix.