Hola, tengo problemas con un spyware hace unos dias. Tengo el Spyware Doctor y me detecta generalmente 22 infecciones del mismo tipo que denomina Backdoor.Hackdoor. El problema es que cuando pongo Reparar, me aparece un mensaje que dice algo asi como "algunas infecciones no podran ser eliminadas usando esta version de spyware doctor y me dice que instale una version actualizada...", el tema es que esta actualizado, y supuestamente me elimina todo, y vuelvo a escanear y no detecta nada, pero al rato lo vuelvo a pasar y me aparecen 4 o 5 de nuevo y si dejo pasar mas tiempo o reinicio la maquina y la uso un rato llega de nuevo a 22 infecciones. Probe pasando el adaware pero ni los detecta.
Espero que alguien pueda ayudarme, gracias!

PD: tengo instalado el outpost firewall.

En el resumen del spyware doctor me tira que son cosas del registro , que terminan todas con /VFILT y algo mas.

Hola germanst, el problema parece ser de limpieza del registro, sigue estos pasos:

- Pasa el Regseeker para Limpiar el Registro pásalo hasta q no quede nada para eliminar.

- Pasa el Disk Cleaner para limpiar cookies y temporales

- De ahí nos cuentas como te fue.

Saludos

Hola, gracias por la ayuda. Mira hice lo que me decis pero sigue todo igual, estas son las cosas que me aparecen cuando paso el Spyware Doctor:

HKLM\SYSTEM\CurrentControlSet\Services\VFILT
HKLM\SYSTEM\CurrentControlSet\Services\VFILT##
HKLM\SYSTEM\CurrentControlSet\Services\VFILT##Conf igV2
HKLM\SYSTEM\CurrentControlSet\Services\VFILT##conf ig2

Esas son las 4 que aparecen siempre, que aparentemente las elimina pero al reiniciar la maquina estan de nuevo, despues aparecen otras que si las elimina pero al rato de usar la computadora vuelven a estar:

HKLM\SYSTEM\CurrentControlSet\Services\VFILT\Enum (varias con distintas cosas)
HKLM\SYSTEM\CurrentControlSet\Services\VFILT\Secur ity (varias con distintas cosas)

Espero que puedan ayudarme, gracias!

Germán.

- Sigue los 11 pasos fundamentales para una buena eliminacion, no te saltes ningun paso.

- Reinicia la maquina y nos cuentas los resultados.

- De persistir el problema pasa el Hijackthis y pega tu log en este mismo mensaje para su analisis.

Saludos

Mira, hice eso de los 11 pasos y sigue todo igual. El unico antispyware que me detecta esto es el spyware doctor, los demas nada.
Aca mando el log:

Logfile of HijackThis v1.99.1
Scan saved at 16:54:49, on 25/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Apache Group\Apache2\bin\Apache.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Archivos de programa\Apache Group\Apache2\bin\Apache.exe
C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\system32\slserv.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.argentina.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Archivos de programa\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\ARCHIV~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: Apache2 - Unknown owner - C:\Archivos de programa\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

¿El log lo tomaste de manera normal o en modo a prueba de fallos? el log no demuestra nada y si solo el Spyware Doctor detecta esos archivos debe tratarse de un falso positivo.

Puedes usar el buscador del Regseeker para buscar y eliminar aquellos elementos que tengan algo que ver VFILT.

Nos cuentas como te fue.

Saludos

El log lo hice en modo normal, despues de haber reiniciado, y sin haber abierto yo ningun programa antes de hacerlo.
Mira, puse buscar VFILT con el regseeker y me encontro:

HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Enum\Root\Legacy_VFILT
HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Enum\Root\Legacy_VFILT\0000
HKEY_LOCAL_MACHINE SYSTEM\ControlSet003\Enum\Root\Legacy_VFILT
HKEY_LOCAL_MACHINE SYSTEM\ControlSet003\Enum\Root\Legacy_VFILT\0000
HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Enum\Root\Legacy_VFILT
HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Enum\Root\Legacy_VFILT\00 00

Los borro, pero enseguisa hago una nueva busqueda y ya estan de nuevo. No se si eso es normal.
Ademas tambien me encuentra algunos de este tipo:

HKLM\SYSTEM\CurrentControlSet\Services\VFILT

que los elimina pero cuando reinicio la maquina ya estan de nuevo.

¿Puede ser que sea realmente que me está detectando falsos positivos, dadas estas caracteristicas? ¿El Spyware Doctor da falsos positivos?

Muchas gracias por el tiempo.


Aca pongo un nuevo log ya habiendo navegado un poco por internet, por las udas a ver si aparece algo nuevo:


Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Spyware Doctor\swdoctor.exe
C:\Archivos de programa\Apache Group\Apache2\bin\Apache.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Archivos de programa\Apache Group\Apache2\bin\Apache.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\alg.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.argentina.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Archivos de programa\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [Outpost Firewall] C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Archivos de programa\Spyware Doctor\swdoctor.exe" /Q
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O20 - AppInit_DLLs: c:\archiv~1\agnitum\outpos~1\wl_hook.dll C:\ARCHIV~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: Apache2 - Unknown owner - C:\Archivos de programa\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

El log está limpio y si no mencionas síntomas de infección si me animo a decir que es un falso positivo.

Pero para estar mas seguros pasa al menos 2 Antivirus Online de preferencia Ewido y Kaspersky.

Saludos

Bueno mira, pase esos dos antivirus que me decis, el ewido me detecto una cosa pero nada que ver con esto, era algo del CuteFTP. Asi que ya fue, me parece que voy a sacar el spyware doctor y voy a dejar el ad-aware, ¿que te parece, o me recomendas otro?
Ahora me queda una duda, si fuera un falso positivo, ¿para que? porque supuestamente el programa lo tengo full (esta crackeado, pero bue..) o sea que no es que si yo lo comprara me lo eliminaria.
Bueno, te agredezco mucho por el tiempo, saludos!

Germán.

Por Políticas del foro no podemos hablar de temas de cracks ni software pero si te puedo recomendar software gratuito y que dan muy buenos resultados, encontrarás una configuración muy buena en este enlace.

Saludos