hola..siguiendo las indicaciones propuestas en este link
http://www.forospyware.com/archive/t-110652.html
logre aparentemente recuperar mi maquina...ya realice todos los pasos y al parecer logre quitar bastantes de los virus y demas porquerias que tenia...
lo malo es que sigo sin poder usar el administrador de tareas..seña que todavia sigue algo malo aqui...y al iniciar la pc y entrar a windows me sale una ventana que dice que no puede encontrar el siguiente archivo: "c:\WINDOWS\eksplorasi.exe" instale el nod32 pero al iniciar no corre el monitor del sistema de archivos...

medio le entiendo a esto...asi que si hay alguien que me pueda ayudar se lo voy a agradecer bastante

se que es ridicula la cantidad de archivos infectados pero a continuacion les copio el analisis del nod32

Comienzo: 27/10/2007 20:53:33 p.m.
Fecha: 27.10.2007 hora: 20:53:59
La Tecnología Anti-Stealth está activada.
Discos, carpetas y archivos analizados: C:
C:\PAGEFILE.SYS - Error abriendo archivo (Acceso denegado) [4]
C:\hiberfil.sys - Error abriendo archivo (Acceso denegado) [4]
C:\WINDOWS\system32\config\SECURITY - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SECURITY.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SOFTWARE.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SYSTEM.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\DEFAULT.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SAM - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SAM.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\system - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\software - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\default - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\drivers\fidbox.idx - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\drivers\fidbox.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\drivers\fidbox2.idx - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\drivers\fidbox2.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\NTUSER.DAT - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\ntuser.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\NTUSER.DAT - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\ntuser.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\Asucena Ruiz\NTUSER.DAT - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\Asucena Ruiz\ntuser.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\Asucena Ruiz\Configuración local\Datos de programa\csrss.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\Documents and Settings\Asucena Ruiz\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\Asucena Ruiz\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\Asucena Ruiz\Plantillas\Brengkolang.com - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\Documents and Settings\Asucena Ruiz\Menú Inicio\Programas\Inicio\Empty.pif - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\Documents and Settings\Asucena Ruiz\Mis documentos\Mis documentos.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\Documents and Settings\Asucena Ruiz\Mis documentos\Mis imágenes\Mis imágenes.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\Documents and Settings\Asucena Ruiz\Mis documentos\Mis imágenes\fotos ensenada\fotos ensenada.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\Documents and Settings\Asucena Ruiz\Mis documentos\Mi música\Mi música.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\Documents and Settings\Asucena Ruiz\Mis documentos\stanton\stanton.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\Documents and Settings\Asucena Ruiz\Mis documentos\CREA MARKETING\CREA MARKETING.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\Documents and Settings\Asucena Ruiz\Mis documentos\mezcla mkt\mezcla mkt.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\Documents and Settings\Asucena Ruiz\Mis documentos\planeacion de mkt\planeacion de mkt.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\Documents and Settings\Asucena Ruiz\Mis documentos\Mis archivos recibidos\Mis archivos recibidos.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\smss.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\services.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\lsass.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\inetinfo.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\csrss.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\winlogon.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\Documents and Settings\Administrador\Plantillas\Brengkolang.com - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\Documents and Settings\Administrador\Menú Inicio\Programas\Inicio\Empty.pif - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\Documents and Settings\Administrador\Mis documentos\Mis documentos.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\Documents and Settings\Administrador\Escritorio\Kaspersky_Anti-Virus_v7.0.0.125_Espa_ol_Full_ba-k.rar »RAR »Kaspersky Anti-Virus v7.0.0.125 Espa¤ol Full\Traducci¢n al Espa¤ol\Skin\en\ah.loc - Comprobación CRC (Checksum) incorrecta. Probablemente el archivo esté protegido por contraseña.
C:\Documents and Settings\Administrador\Escritorio\Kaspersky_Anti-Virus_v7.0.0.125_Espa_ol_Full_ba-k.rar »RAR »Kaspersky Anti-Virus v7.0.0.125 Espa¤ol Full\Traducci¢n al Espa¤ol\Skin\en\iso3166-1.loc - Comprobación CRC (Checksum) incorrecta. Probablemente el archivo esté protegido por contraseña.
C:\Documents and Settings\Administrador\Escritorio\Kaspersky_Anti-Virus_v7.0.0.125_Espa_ol_Full_ba-k.rar »RAR »Kaspersky Anti-Virus v7.0.0.125 Espa¤ol Full\Traducci¢n al Espa¤ol\Skin\en\main.loc - Comprobación CRC (Checksum) incorrecta. Probablemente el archivo esté protegido por contraseña.
C:\Documents and Settings\Administrador\Escritorio\Kaspersky_Anti-Virus_v7.0.0.125_Espa_ol_Full_ba-k.rar »RAR »Kaspersky Anti-Virus v7.0.0.125 Espa¤ol Full\Traducci¢n al Espa¤ol\Skin\en\oas.loc - Comprobación CRC (Checksum) incorrecta. Probablemente el archivo esté protegido por contraseña.
C:\Documents and Settings\Administrador\Escritorio\Kaspersky_Anti-Virus_v7.0.0.125_Espa_ol_Full_ba-k.rar »RAR »Kaspersky Anti-Virus v7.0.0.125 Espa¤ol Full\Traducci¢n al Espa¤ol\Skin\en\pc.loc - Comprobación CRC (Checksum) incorrecta. Probablemente el archivo esté protegido por contraseña.
C:\Documents and Settings\Administrador\Escritorio\Kaspersky_Anti-Virus_v7.0.0.125_Espa_ol_Full_ba-k.rar »RAR »Kaspersky Anti-Virus v7.0.0.125 Espa¤ol Full\Traducci¢n al Espa¤ol\Skin\en\sc.loc - Comprobación CRC (Checksum) incorrecta. Probablemente el archivo esté protegido por contraseña.
C:\Documents and Settings\Administrador\Escritorio\Kaspersky_Anti-Virus_v7.0.0.125_Espa_ol_Full_ba-k.rar »RAR »Kaspersky Anti-Virus v7.0.0.125 Espa¤ol Full\Traducci¢n al Espa¤ol\Skin\en\service.loc - Comprobación CRC (Checksum) incorrecta. Probablemente el archivo esté protegido por contraseña.
C:\Documents and Settings\Administrador\Escritorio\Kaspersky_Anti-Virus_v7.0.0.125_Espa_ol_Full_ba-k.rar »RAR »Kaspersky Anti-Virus v7.0.0.125 Espa¤ol Full\Traducci¢n al Espa¤ol\Skin\images\banner_yellow.png - Comprobación CRC (Checksum) incorrecta. Probablemente el archivo esté protegido por contraseña.
C:\System Volume Information\_restore{3BF53398-13A9-44CD-9D1D-9A09FFE9073B}\RP32\A0006048.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\System Volume Information\_restore{3BF53398-13A9-44CD-9D1D-9A09FFE9073B}\RP32\A0006049.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\System Volume Information\_restore{3BF53398-13A9-44CD-9D1D-9A09FFE9073B}\RP32\A0006050.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\System Volume Information\_restore{3BF53398-13A9-44CD-9D1D-9A09FFE9073B}\RP32\A0006051.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\System Volume Information\_restore{3BF53398-13A9-44CD-9D1D-9A09FFE9073B}\RP32\A0006052.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\System Volume Information\_restore{3BF53398-13A9-44CD-9D1D-9A09FFE9073B}\RP32\A0006053.pif - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\System Volume Information\_restore{3BF53398-13A9-44CD-9D1D-9A09FFE9073B}\RP32\A0006054.com - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\System Volume Information\_restore{3BF53398-13A9-44CD-9D1D-9A09FFE9073B}\RP32\A0006055.scr - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\System Volume Information\_restore{3BF53398-13A9-44CD-9D1D-9A09FFE9073B}\RP32\A0006056.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\System Volume Information\_restore{3BF53398-13A9-44CD-9D1D-9A09FFE9073B}\RP32\A0006057.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\System Volume Information\_restore{3BF53398-13A9-44CD-9D1D-9A09FFE9073B}\RP32\A0006061.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\System Volume Information\_restore{3BF53398-13A9-44CD-9D1D-9A09FFE9073B}\RP32\A0006070.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\System Volume Information\_restore{3BF53398-13A9-44CD-9D1D-9A09FFE9073B}\RP32\A0006069.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\System Volume Information\_restore{3BF53398-13A9-44CD-9D1D-9A09FFE9073B}\RP32\A0006071.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\System Volume Information\_restore{3BF53398-13A9-44CD-9D1D-9A09FFE9073B}\RP32\A0006072.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\System Volume Information\_restore{3BF53398-13A9-44CD-9D1D-9A09FFE9073B}\RP32\A0006073.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\System Volume Information\_restore{3BF53398-13A9-44CD-9D1D-9A09FFE9073B}\RP32\A0006074.pif - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\System Volume Information\_restore{3BF53398-13A9-44CD-9D1D-9A09FFE9073B}\RP32\A0006075.com - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\System Volume Information\_restore{3BF53398-13A9-44CD-9D1D-9A09FFE9073B}\RP32\A0006076.scr - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\System Volume Information\_restore{3BF53398-13A9-44CD-9D1D-9A09FFE9073B}\RP32\A0006077.exe - Win32/Brontok.U (Gusano de Internet) -
C:\System Volume Information\_restore{3BF53398-13A9-44CD-9D1D-9A09FFE9073B}\RP40\A0016403.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\System Volume Information\_restore{3BF53398-13A9-44CD-9D1D-9A09FFE9073B}\RP40\A0016406.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado


C:\ShellNew\sempalong.exe - Win32/Brontok.U (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\BackUpMSNCleaner\regedit.com.vir - Win32/VB.NMO (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\BackUpMSNCleaner\spolis.exe.vir - Win32/VB.NMO (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\BackUpMSNCleaner\cmd.com.vir - Win32/VB.NMO (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\BackUpMSNCleaner\lechuck.exe.vir - Win32/VB.NMO (Gusano de Internet) - Imposible desinfectar - Eliminado
C:\BackUpMSNCleaner\wins.exe.vir - Win32/VB.NMO (Gusano de Internet) - Imposible desinfectar - Eliminado
Cantidad de archivos analizados: 58060
Cantidad de amenazas detectadas: 765
Cantidad de archivos desinfectados: 765
Hora de finalización: 21:32:40 . Tiempo total de análisis: 2321 seg (00:38:41)

Notas:
[4] El archivo no puede ser abierto. Es usado en exclusividad por otra aplicación.

hola chino-hillo intenta pasar este antivirus online kaspersky
al terminar el escaneo con kaspersky me pegas el reporte que te genere
despues pasa el ewido online scanner recuerda al terminar el escaneo con ewido darle en la opcion remove infections y pegarme el reporte que te genere
recuerda tener i explorer 5.0 o superior( y si navegas con firefox usa la extencion IE TAB

el problema es que no puedo correr ningun antivirus en linea.....despues de haber realizado las limpiezas con el ccleaner y el msncleaner instale el nod32 y realize el escaneo y los resultados ya los puse arriba...despues instale el super antyspayware lo corri y me arrojo este log:

Generated 10/28/2007 at 07:42 AM

Application Version : 3.9.1008

Core Rules Database Version : 3332
Trace Rules Database Version: 1333

Scan type : Quick Scan
Total Scan Time : 06:24:46

Memory items scanned : 261
Memory threats detected : 0
Registry items scanned : 669
Registry threats detected : 0
File items scanned : 13396
File threats detected : 4

Adware.Tracking Cookie
C:\Documents and Settings\Asucena Ruiz\Cookies\asucena ruiz@clickbank[1].txt
C:\Documents and Settings\Asucena Ruiz\Cookies\asucena ruiz@atdmt[2].txt
C:\Documents and Settings\Asucena Ruiz\Cookies\asucena ruiz@1067354930[1].txt
C:\Documents and Settings\Asucena Ruiz\Cookies\asucena ruiz@doubleclick[1].txt


..pero sigo sin poder acceder al administrador de tareas...al abrirlo me aparece una ventana que dice "el administrador de tareas ha sido deshabilitado por un administrado" y tambien tengo bloqueado el editor de registros...

porque pasa esto??? sigo con el virus??? si alguien sabe que puedo hacer que me heche la mano xfa

ademas al iniciar la pc (siempre) me aparece una ventana diciendome que me falta el archivo " c:/WINDOWS/eksplorasi.exe" que es esto????


ayudenme porfaaaaaa

Hola chino-hillo

• Descarga la herramienta ComboFix.exe y guárdala en el escritorio de Win.
• Hace doble-click en el archivo combofix.exe y sigue los avisos.
• Cuando termine este generara un reporte que se situa en C:\ComboFix.txt pegar el informe en este mismo mensaje.
  • Nota* Puede que algunos Antivirus detecten un falso positivo en ComboFix pero no hay que preocuparse por esto.

Salu2
Recuerda volver

hola devil may cry:

segui los pasos que me mandaste y este es el log que me genera el combofix:

ComboFix 07-10-28.2 - Asucena Ruiz 2007-10-28 11:02:39.1 - FAT32x86
Se ejecuta desde: C:\Documents and Settings\Asucena Ruiz\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración
.

(((((((((((((((((( Archivos creados desde 2007-09-28 - 2007-10-28 )))))))))))))))))))))))))))))))))
.

2007-10-28 10:58 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-28 09:37 <DIR> d--hs---- C:\FOUND.004
2007-10-28 09:32 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-10-28 01:07 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2007-10-28 01:02 <DIR> d-------- C:\Documents and Settings\Asucena Ruiz\Datos de programa\SUPERAntiSpyware.com
2007-10-28 01:02 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2007-10-28 00:57 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2007-10-28 00:31 197,120 --------- C:\WINDOWS\Setup1.exe
2007-10-28 00:30 73,216 --a------ C:\WINDOWS\ST6UNST.EXE
2007-10-27 16:27 <DIR> d-------- C:\BackUpMSNCleaner
2007-10-27 16:18 <DIR> d-------- C:\Archivos de programa\CCleaner
2007-10-27 15:35 <DIR> d--h----- C:\Documents and Settings\Administrador\Plantillas
2007-10-27 15:35 <DIR> d-------- C:\Documents and Settings\Administrador\Mis documentos
2007-10-27 15:35 <DIR> dr------- C:\Documents and Settings\Administrador\Menú Inicio
2007-10-27 15:35 <DIR> d--h----- C:\Documents and Settings\Administrador\Impresoras
2007-10-27 15:35 <DIR> d-------- C:\Documents and Settings\Administrador\Favoritos
2007-10-27 15:35 <DIR> d-------- C:\Documents and Settings\Administrador\Escritorio
2007-10-27 15:35 <DIR> d--h----- C:\Documents and Settings\Administrador\Entorno de red
2007-10-27 15:35 <DIR> dr-h----- C:\Documents and Settings\Administrador\Datos de programa
2007-10-27 15:35 <DIR> d--h----- C:\Documents and Settings\Administrador\Configuración local
2007-10-27 13:21 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-10-27 13:21 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-10-27 13:17 421,888 -rahs---- C:\WINDOWS\Knight.exe
2007-10-27 13:17 212 --a------ C:\WINDOWS\recover.reg
2007-10-27 12:50 110,360 --a------ C:\WINDOWS\system32\drivers\kl1.sys
2007-10-26 11:34 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2007-10-22 23:18 <DIR> d--hs---- C:\FOUND.003

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2007-10-28 17:02 32 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2007-10-28 17:02 32 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-07-31 03:19 92,504 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2007-07-31 03:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-31 03:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-31 03:19 549,720 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2007-07-31 03:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-31 03:19 53,080 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2007-07-31 03:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-31 03:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-31 03:19 325,976 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2007-07-31 03:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-31 03:19 203,096 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2007-07-31 03:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-31 03:19 1,712,984 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2007-07-31 03:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-07-31 03:18 33,624 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"Disk Knight"="C:\WINDOWS\Knight.exe" [2007-10-03 08:25]
"AVP"="E:\PortableKaspAntEsp\avp.exe" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 13:42]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 14:06]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll


[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{67eaf2b0-84c9-11dc-aaf7-00106076ed93}]
auto\command - E:\Knight.exe open
AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Knight.exe open
explore\command - E:\Knight.exe open
find\command - E:\Knight.exe open
install\command - E:\Knight.exe open
open\command - E:\Knight.exe open

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{c3171530-1003-11dc-aa74-fff4559a5adb}]
AutoRun\command - E:\*.exe
explore\Command - E:\*.exe
open\Command - E:\*.exe

*Newly Created Service* - CATCHME
.
************************************************** ************************

catchme 0.3.1239 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-28 11:06:24
Windows 5.1.2600 Service Pack 2 FAT NTAPI

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
Tiempo completado: 2007-10-28 11:08:44
.
--- E O F ---


ahi te lo dejo para que xfa lo cheques y te agradezco mucho tu ayuda

salu2

Hola chino-hillo

Antes que nada descarga el archivo que te estoy colocando como adjunto llamado fixlechuck.txt y lo copias en C:\ y le cambias la extension a .reg para esto lo que debes hacer es editar su nombre y colocar fixlechuck.reg es muy importante que realices este paso..

• Clic en INICIO > EJECUTAR >
• Y ahí pones notepad.exe y ACEPTAR
• Ahora copia y pega estos archivos dentro del Notepad

• Guarda este archivo con el nombre CFScript.txt
• Arrastra y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra el screenshot de de abajo.
• 
• ComboFix comenzará otra vez a ejecutarse.

Al reiniciar el sistema el ComboFix intentara activarse, lo mas probable es que te salga una ventana indicandote con que deseas abrir el ComboFix, ya que abras perdido las asociaciones de los archivos (No te preocupes), lo que debes es reinciar la pc en Modo simbolo de sistema una vez alli teclea lo siguiente: C:\Fixlechuck.reg.

Tecleas aceptar y te indicara si deseas agregar la informacion al registro, acepta y reinicia..

Ejecuta el ComboFix (haces doble clic sobre el) y nos colocas el reporte que te genere..

salu2 de nuevo devil may cry:

mira segui las instrucciones que me mandaste..nada mas que no se si hice algo mal porque no tuve que reinicir la maquina

- descargue el adjunto fixlechuck.txt a la carpeta c:
- le cambie el nombre a fixlechuck.reg (segun yo tenia que cambiar el icono al verde como el de registros pero eso no sucedio se quedo el icono del block de notas)
-click en inicio--ejecutar--notepad.exe--aceptar
-se abrio el notepad y copie el texto que me mandaste en el recuadro de "codigo:" con el nombre de los archivos
-lo guarde con el nombre CFScript.txt en el escritorio
- lo arrastre como me indicaste al combofix.exe
-se ejecuto el combofix pero nunca se abrio la ventana
-simplemente se ejecuto y termino y este es el log que me arrojo

ComboFix 07-10-28.2 - Asucena Ruiz 2007-10-28 12:14:38.2 - FAT32x86
Se ejecuta desde: C:\Documents and Settings\Asucena Ruiz\Escritorio\ComboFix.exe
Command switches used :: C:\Documents and Settings\Asucena Ruiz\Escritorio\CFScript.txt
* Creado un nuevo punto de restauración

FILE::
C:\autorun.inf
C:\WINDOWS\Knight.exe
C:\Windows\regedit.com
C:\Windows\spolis.exe
C:\Windows\system32\cc.dll
C:\Windows\system32\cmd.com
C:\Windows\system32\lechuck.exe
C:\Windows\system32\lechuck.hta
C:\WINDOWS\system32\wins.exe
C:\Windows\system32\zip32.dll
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\FOUND.003
C:\FOUND.003\FILE0000.CHK
C:\FOUND.004
C:\FOUND.004\FILE0000.CHK
C:\FOUND.004\FILE0001.CHK
C:\FOUND.004\FILE0002.CHK
C:\FOUND.004\FILE0003.CHK
C:\FOUND.004\FILE0004.CHK
C:\FOUND.004\FILE0005.CHK
C:\FOUND.004\FILE0006.CHK
C:\FOUND.004\FILE0007.CHK
C:\FOUND.004\FILE0008.CHK
C:\FOUND.004\FILE0009.CHK
C:\FOUND.004\FILE0010.CHK
C:\FOUND.004\FILE0011.CHK
C:\FOUND.004\FILE0012.CHK
C:\FOUND.004\FILE0013.CHK
C:\FOUND.004\FILE0014.CHK
C:\FOUND.004\FILE0015.CHK
C:\FOUND.004\FILE0016.CHK
C:\FOUND.004\FILE0017.CHK
C:\FOUND.004\FILE0018.CHK
C:\FOUND.004\FILE0019.CHK
C:\FOUND.004\FILE0020.CHK
C:\FOUND.004\FILE0021.CHK
C:\WINDOWS\Knight.exe

.
(((((((((((((((((( Archivos creados desde 2007-09-28 - 2007-10-28 )))))))))))))))))))))))))))))))))
.

2007-10-28 10:58 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-28 09:32 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-10-28 01:07 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2007-10-28 01:02 <DIR> d-------- C:\Documents and Settings\Asucena Ruiz\Datos de programa\SUPERAntiSpyware.com
2007-10-28 01:02 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2007-10-28 00:57 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2007-10-28 00:31 197,120 --------- C:\WINDOWS\Setup1.exe
2007-10-28 00:30 73,216 --a------ C:\WINDOWS\ST6UNST.EXE
2007-10-27 16:27 <DIR> d-------- C:\BackUpMSNCleaner
2007-10-27 16:18 <DIR> d-------- C:\Archivos de programa\CCleaner
2007-10-27 15:35 <DIR> d--h----- C:\Documents and Settings\Administrador\Plantillas
2007-10-27 15:35 <DIR> d-------- C:\Documents and Settings\Administrador\Mis documentos
2007-10-27 15:35 <DIR> dr------- C:\Documents and Settings\Administrador\Menú Inicio
2007-10-27 15:35 <DIR> d--h----- C:\Documents and Settings\Administrador\Impresoras
2007-10-27 15:35 <DIR> d-------- C:\Documents and Settings\Administrador\Favoritos
2007-10-27 15:35 <DIR> d-------- C:\Documents and Settings\Administrador\Escritorio
2007-10-27 15:35 <DIR> d--h----- C:\Documents and Settings\Administrador\Entorno de red
2007-10-27 15:35 <DIR> dr-h----- C:\Documents and Settings\Administrador\Datos de programa
2007-10-27 15:35 <DIR> d--h----- C:\Documents and Settings\Administrador\Configuración local
2007-10-27 13:21 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-10-27 13:21 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-10-27 13:17 212 --a------ C:\WINDOWS\recover.reg
2007-10-27 12:50 110,360 --a------ C:\WINDOWS\system32\drivers\kl1.sys
2007-10-26 11:34 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2007-10-28 17:02 32 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2007-10-28 17:02 32 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-07-31 03:19 92,504 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2007-07-31 03:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-31 03:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-31 03:19 549,720 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2007-07-31 03:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-31 03:19 53,080 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2007-07-31 03:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-31 03:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-31 03:19 325,976 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2007-07-31 03:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-31 03:19 203,096 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2007-07-31 03:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-31 03:19 1,712,984 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2007-07-31 03:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-07-31 03:18 33,624 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
.

((((((((((((((((((((((((((((( snapshot@2007-10-28_11.06.48.50 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-03-13 18:57:12 163,328 ----a-w C:\WINDOWS\erdnt\subs\F3M\ERDNT.EXE
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"Disk Knight"="C:\WINDOWS\Knight.exe" []
"AVP"="E:\PortableKaspAntEsp\avp.exe" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 13:42]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 14:06]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

R3 OBOE;Puerto Toshiba FIR Type-DO;C:\WINDOWS\system32\DRIVERS\tos4mo.sys

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{67eaf2b0-84c9-11dc-aaf7-00106076ed93}]
auto\command - E:\Knight.exe open
AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Knight.exe open
explore\command - E:\Knight.exe open
find\command - E:\Knight.exe open
install\command - E:\Knight.exe open
open\command - E:\Knight.exe open

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{c3171530-1003-11dc-aa74-fff4559a5adb}]
AutoRun\command - E:\*.exe
explore\Command - E:\*.exe
open\Command - E:\*.exe

*Newly Created Service* - CATCHME
.
************************************************** ************************

catchme 0.3.1239 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-28 12:18:31
Windows 5.1.2600 Service Pack 2 FAT NTAPI

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
Tiempo completado: 2007-10-28 12:20:05
C:\ComboFix2.txt ... 2007-10-28 11:08
.
--- E O F ---
----------------------------------------------------------------------
te lo dejo para que xfa lo cheques y me indiques si hice algo mal o que prosigue...no sabes lo agradecido que estoy por la ayuda que me estas brindando...la verdad soy nuevo en el foro y me alegra que sean tan solidarios

Hola chino-hillo

Lo unico que faltaria es decirnos como esta el PC, si tienes algún sintoma de infección o algo. Si la respuesta es positiva, o sea, si no tienes nada extraño podemos dar el tema por solucionado.

Salu2

hola nuevamente devil may cry:

al parecer ya esta jalando bien el sistema...te agradezco enormemente la ayuda....ya corre el administrador de tareas y ya no me aparece la ventana del archivo que faltaba al iniciar la pc...gracias y salu2 a todo el staff de los foros

chino-hillo

Hola chino-hillo

Quita CF de la siguiente manera:

• Ir a Inicio > Ejecutar
• Escribir lo siguiente: ComboFix /u como muestra la imagen debajo:
  
  • 
• Se te abrira una ventana estilo "Comando", espera unos momentos y luego acepta el mensaje que aparecerá ("ComboFix is uninstalled")

Esto realizara las siguientes tareas:

• Se borraran:
  • ComboFix: sus archivos y carpetas.
  • VundoFix: copias de seguridad (si está presente)
  • La carpeta C:\Deckard (si está presente)
  • La carpeta C: _OtMoveIt (si está presente)
• Restablece la configuración del reloj.
• Ocultar extensiones de archivo (si es necesario.)
• Oculta los archivos que estaban ocultos
• Reactiva el "Restaurar Sistema"

Daremos tú tema por solucionado, pero si llegase a surgir el problema le das clic al botón del simbolito arriba del post: o también puedes mandarle un MP (Mensaje privado) a cualquier Administrador, Moderador o Warrior de este Sub-Foro para qué reabran el tema y seguir con ellá

Salu2