Antes de nada, saludar y agradecer de antemano vuestra labor de ayuda. Y ahora paso a contaros mi problema:

Tras aceptación (por error) de la ejecución de un contros ActiveX, comenzó en mi PC la aparición de varias ventanas de anuncios avisandome de que mi ordenador podía estar infectado, etc, etc (ahora ya lo estaba), llegando incluso a aparecerme algún error de "buffer overrun de explorer.exe" seguí los pasos de desinfección que recomendáis en el foro:

- Apagar restaurar el sistema
-Arrancar en modo seguro
-Ejecutar SpyBot Search & Destroy
-Ejecutar CCleaner (Varias veces Limpiador y Registro)
-Reiniciar en modo normal y volver a ejecutar los dos pasos anteriores

Me sigue apareciendo en el SpyBot la referencia al Virtumonde :

Copio y pego la referencia antes de el último intento de limpieza


--- Search result list ---
Virtumonde: [SBI $42352499] Configuración del usuario (Clave del registro, nothing done)
HKEY_USERS\S-1-5-21-1606980848-1214440339-725345543-1003\Software\Microsoft\rdfa

Virtumonde: [SBI $47E741CD] Configuración (Clave del registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws

Virtumonde: [SBI $7342F9D9] Configuración (Clave del registro, nothing done)
HKEY_USERS\S-1-5-21-1606980848-1214440339-725345543-1003\Software\Microsoft\aldd
-------------------------------------------------------------------

Una y otra vez, sigue apareciendo y no veo la forma de desacerme de él

A continuación pego y copio la última ejecución del HijackThis para ver si me lo podéis analizar y ayudarme con mi problema:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:59:00, on 04/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Archivos de programa\Network Associates\VirusScan\avsynmgr.exe
F:\WINDOWS\system32\inetsrv\inetinfo.exe
F:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
F:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
F:\Archivos de programa\Network Associates\VirusScan\VsStat.exe
F:\Archivos de programa\Network Associates\VirusScan\Avconsol.exe
F:\Archivos de programa\Network Associates\VirusScan\Vshwin32.exe
F:\Archivos de programa\Archivos comunes\Network Associates\McShield\mcshield.exe
F:\WINDOWS\Explorer.EXE
F:\Instaladores\XCleaner\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = 192.168.1.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: 69.64.35.177 auto.search.msn.com
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:\ARCHIV~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [24551741] rundll32.exe "F:\WINDOWS\system32\inwwbord.dll",b
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = F:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Descargar TODO con FlashGet - F:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Descargar usando FlashGet - F:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://F:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {0CB429C3-099E-4EF8-9C8C-357CDB273DEF} (VisioWebControl) - http://www.ipvision.fr/luz/VisioWeb.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C85E1AF0-4E62-4E33-B554-75908F9ACA9B}: NameServer = 62.151.2.8,80.58.61.254
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - F:\Archivos de programa\Network Associates\VirusScan\avsynmgr.exe
O23 - Service: 802.11g Wireless Network Adapter (B54GT Wireless Service) - Unknown owner - F:\Archivos de programa\B54GT Wireless Monitor\WLService.exe (file missing)
O23 - Service: McShield - Unknown owner - F:\Archivos de programa\Archivos comunes\Network Associates\McShield\mcshield.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - F:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 4349 bytes


Ansioso por vuestra respuesta, os saluda

Sprocket58

Hola Sprocket58, te doy la bienvenida al Foro de InfoSpyware.


- Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.
• Pega el reporte de ComboFix.txt en este mismo mensaje.

Reinicia y nos dejas los reportes.

Salu2

Bueno, pues ya está hecho...

Añado el report generado por el ComboFix

ComboFix 08-02.05.3 - Fernando 2008-02-06 18:21:02.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.508 [GMT 1:00]
Se ejecuta desde: F:\Documents and Settings\Fernando\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

F:\WINDOWS\system32\jkhfg.dll
F:\WINDOWS\system32\rqrpmml.dll
F:\WINDOWS\system32\avwnikob.dll
F:\WINDOWS\system32\bnlkisxs.dll
F:\WINDOWS\system32\buculggb.dll
F:\WINDOWS\system32\Cache
F:\WINDOWS\system32\cbxywuu.dll
F:\WINDOWS\system32\drobwwni.ini
F:\WINDOWS\system32\fwrkjeko.dll
F:\WINDOWS\system32\gfhkj.ini
F:\WINDOWS\system32\gfhkj.ini2
F:\WINDOWS\system32\inwwbord.dll
F:\WINDOWS\system32\jkhfg.dll
F:\WINDOWS\system32\kbiasbqo.dll
F:\WINDOWS\system32\kbiasbqo.dll . . . . Fallo al eliminar
F:\WINDOWS\system32\kbiasbqo.dllbox
F:\WINDOWS\system32\kikacxss.dll
F:\WINDOWS\system32\pac.txt
F:\WINDOWS\system32\pmnkijk.dll
F:\WINDOWS\system32\qnvncjcf.dll
F:\WINDOWS\system32\qpqss.ini
F:\WINDOWS\system32\qpqss.ini2
F:\WINDOWS\system32\rldrtpne.dll
F:\WINDOWS\system32\rqrpmml.dll
F:\WINDOWS\system32\tdtuuynx.dll
F:\WINDOWS\system32\vwpigwfd.dll
F:\WINDOWS\system32\xnyuutdt.ini

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\nm


(((((((((((((((((( Archivos creados desde 2008-01-06 - 2008-02-06 )))))))))))))))))))))))))))))))))
.

2008-02-06 10:13 . 2008-02-06 10:13 90,688 --a------ F:\WINDOWS\system32\qrxvcvuo.dll
2008-02-06 10:13 . 2008-02-06 18:21 654 ---hs---- F:\WINDOWS\system32\ouvcvxrq.ini
2008-02-05 10:18 . 2008-02-06 00:25 474 ---hs---- F:\WINDOWS\system32\kxfsdbsa.ini
2008-02-05 10:15 . 2008-02-06 18:25 163,904 --a------ F:\WINDOWS\system32\kbiasbqo.dll
2008-02-04 18:23 . 2008-02-04 19:34 <DIR> d-------- F:\Archivos de programa\CCleaner
2008-02-02 22:24 . 2008-02-03 00:02 <DIR> d-------- F:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2008-02-02 22:24 . 2008-02-02 22:24 <DIR> d-------- F:\Archivos de programa\Spybot - Search & Destroy
2008-02-01 14:57 . 2008-02-01 15:23 <DIR> d-------- F:\WINDOWS\system32\nGpxx01
2008-01-27 22:13 . 2008-01-27 22:13 360,064 --a------ F:\WINDOWS\system32\drivers\TCPIP.SYS.ORIGINAL

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-02-06 12:03 --------- d-----w F:\Archivos de programa\eMule
2008-02-05 21:37 --------- d-----w F:\Documents and Settings\Fernando\Datos de programa\uTorrent
2008-02-03 20:07 --------- d-----w F:\Archivos de programa\TimeSync
2008-02-03 11:59 --------- d-----w F:\Documents and Settings\All Users\Datos de programa\DVD Shrink
2008-01-28 16:48 360,064 ----a-w F:\WINDOWS\system32\drivers\TCPIP.SYS
2008-01-25 14:45 --------- d-----w F:\Archivos de programa\FlashGet
2006-12-04 20:21 1,299 ----a-w F:\Archivos de programa\INSTALL.LOG
2006-06-29 17:33 19,448 ----a-w F:\Documents and Settings\Fernando\Datos de programa\GDIPFONTCACHEV1.DAT
2005-12-01 14:44 19,448 ----a-w F:\Documents and Settings\Puri\Datos de programa\GDIPFONTCACHEV1.DAT
2004-05-31 21:38 1,417,683 ----a-w F:\Archivos de programa\Default.jcd
1998-02-10 17:34 128,000 ----a-w F:\Archivos de programa\UNWISE.EXE
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
2008-02-06 18:25 163904 --a------ F:\WINDOWS\system32\kbiasbqo.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"24551741"="F:\WINDOWS\system32\qrxvcvuo.dll" [2008-02-06 10:13 90688]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 14:42 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\kbiasbqo]
kbiasbqo.dll 2008-02-06 18:25 163904 F:\WINDOWS\system32\kbiasbqo.dll

R0 NaiFsRec;NaiFsRec;F:\WINDOWS\system32\drivers\NaiF sRec.sys [2001-04-30 03:51]
R2 AvSynMgr;AVSync Manager;"F:\Archivos de programa\Network Associates\VirusScan\avsynmgr.exe" [2001-04-30 03:51]
S2 B54GT Wireless Service;802.11g Wireless Network Adapter;F:\Archivos de programa\B54GT Wireless Monitor\WLService.exe []
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;F:\WINDOWS\system32\NSNDIS5.SYS [2004-03-24 03:12]
S3 ZD1211U(3COM Corporation);3COM OfficeConnect Wireless 11g Compact USB Adapter(3COM Corporation);F:\WINDOWS\system32\DRIVERS\zd1211u.s ys []

.
************************************************** ************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-06 18:29:22
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
--------------------- DLLs cargados bajo los procesos en ejecuci¢n ---------------------

PROCESS: F:\WINDOWS\system32\winlogon.exe
-> F:\WINDOWS\system32\kbiasbqo.dll
.
------------------------ Other Running Processes ------------------------
.
F:\WINDOWS\system32\savedump.exe
F:\WINDOWS\system32\inetsrv\inetinfo.exe
F:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
F:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
F:\Archivos de programa\Network Associates\VirusScan\VsStat.exe
F:\Archivos de programa\Network Associates\VirusScan\Vshwin32.exe
F:\Archivos de programa\Network Associates\VirusScan\Avconsol.exe
F:\Archivos de programa\Archivos comunes\Network Associates\McShield\mcshield.exe
.
************************************************** ************************
.
Tiempo completado: 2008-02-06 18:32:37 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-06 17:32:31
.
2008-01-10 20:44:49 --- E O F ---

Ya me contarás lo que encuentras... espero de todo corazón que haya sido la solución.

Un saludo

CORRECCION POSTERIOR

Pues va a ser que no. Después de pasar de nuevo el Spybot aparece de nuevo el Virtumonde. Te adjunto el inicio de informe por si ayuda en algo, y de nuevo el del HijackThis

¿Debería haber ejecutado el ComboFix en modo seguro?

=========== Inicio Informe Spybot
--- Search result list ---
Virtumonde: [SBI $42352499] Configuración del usuario (Clave del registro, fixed)
HKEY_USERS\S-1-5-21-1606980848-1214440339-725345543-1003\Software\Microsoft\rdfa

Virtumonde: [SBI $47E741CD] Configuración (Clave del registro, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws

Virtumonde: [SBI $7342F9D9] Configuración (Clave del registro, fixed)
HKEY_USERS\S-1-5-21-1606980848-1214440339-725345543-1003\Software\Microsoft\aldd

Virtumonde.generic: [SBI $88EE1D0F] Configuración (Valor del registro, fixed)
HKEY_CLASSES_ROOTCLSID\{A95B2816-1D7E-4561-A202-68C0DE02353A}\InprocServer32\=...F:\WINDOWS\SYSTEM 32\KBIASBQO.DLL...

Virtumonde.generic: [SBI $FFB000DB] Configuración (Clave del registro, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\KBIASBQO

Virtumonde.generic: [SBI $6026F3EE] Configuración (Valor del registro, fixed)
HKEY_CLASSES_ROOTCLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}\InprocServer32\=...F:\WINDOWS\SYSTEM 32\KBIASBQO.DLL...

Virtumonde.generic: [SBI $8DF9F290] ID de clase (Clave del registro, fixed)
HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}

Virtumonde.generic: [SBI $2C44C86A] ID de clase (Clave del registro, fixed)
HKEY_CLASSES_ROOT\CLSID\{A95B2816-1D7E-4561-A202-68C0DE02353A}

Virtumonde.generic: [SBI $B8DFB189] Objeto ayudante del navegador (Clave del registro, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}

Virtumonde.generic: [SBI $CF6EBC66] Configuración del usuario (Clave del registro, fixed)
HKEY_USERS\S-1-5-21-1606980848-1214440339-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{A95B2816-1D7E-4561-A202-68C0DE02353A}

Tradedoubler: [SBI $61F39AC8] Cookie de seguimiento (Internet Explorer: Fernando) (Cookie, fixed)



--- Spybot - Search & Destroy version: 1.5.2 (build: 20080128) ---

=============== informe HijackThis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:47:24, on 06/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Archivos de programa\Network Associates\VirusScan\avsynmgr.exe
F:\WINDOWS\system32\inetsrv\inetinfo.exe
F:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
F:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
F:\Archivos de programa\Network Associates\VirusScan\VsStat.exe
F:\Archivos de programa\Network Associates\VirusScan\Vshwin32.exe
F:\Archivos de programa\Archivos comunes\Network Associates\McShield\mcshield.exe
F:\Archivos de programa\Network Associates\VirusScan\Avconsol.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\rundll32.exe
F:\Archivos de programa\eMule\emule.exe
F:\Archivos de programa\internet explorer\iexplore.exe
F:\Instaladores\XCleaner\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = 192.168.1.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - F:\ARCHIV~1\FlashGet\Jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:\ARCHIV~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [24551741] rundll32.exe "F:\WINDOWS\system32\qrxvcvuo.dll",b
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = F:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Descargar TODO con FlashGet - F:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Descargar usando FlashGet - F:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://F:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O16 - DPF: Cab1 - http://deuscleaneronline.com/CleanerInstall.cab
O16 - DPF: {0CB429C3-099E-4EF8-9C8C-357CDB273DEF} (VisioWebControl) - http://www.ipvision.fr/luz/VisioWeb.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C85E1AF0-4E62-4E33-B554-75908F9ACA9B}: NameServer = 62.151.2.8,80.58.61.254
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - F:\Archivos de programa\Network Associates\VirusScan\avsynmgr.exe
O23 - Service: 802.11g Wireless Network Adapter (B54GT Wireless Service) - Unknown owner - F:\Archivos de programa\B54GT Wireless Monitor\WLService.exe (file missing)
O23 - Service: McShield - Unknown owner - F:\Archivos de programa\Archivos comunes\Network Associates\McShield\mcshield.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - F:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 4864 bytes

Quedo a la espera

Hola, disculpa las demores pero con los problemas sufridos durante casi tres días con el servidor del foro, se nos quedaron muchos temas pendientes y estamos algo atrasados...

ComboFix detecto y elimino ya algunos Malwares, pero todavía le quedaron algunas cosas para sacar siguiendo estos pasos:

A) - Abrir el Notepad (Bloc de Notas)

• Ir a INICIO > EJECUTAR >
• Y ahí pones notepad.exe y ACEPTAR

B) - Ahora copia y pega estos archivos dentro del Notepad

C) - Graba este archivo con el nombre CFScript.txt y déjalo en tu escritorio.

D) - Arrastrar y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.

• Reinicia tu PC y nos dejas un el nuevo reporte de ComboFix, comentándonos como esta funcionado todo actualmente?

Salu2

Saludos ElPiedra. Entiendo perfectamente el "agobio" que debéis tener en estos momentos.

Vayamos con mi problema.

He ejecutado las instrucciones que me indicabas y algo más abajo te pego el reporte del combofix, pero señalar que al reiniciar el PC me sale un error de RUNDLL en el que me indica que no encuentra el módulo qrxvcvuo.dll ¿Cómo elimino dicho error?

**** Corrección a las 19:30 - Ver al final del post
El report de ComboFix:

ComboFix 08-02-14.2 - Fernando 2008-02-14 18:18:39.2 - NTFSx86

Se ejecuta desde: F:\Documents and Settings\Fernando\Escritorio\ComboFix.exe
Command switches used :: F:\Documents and Settings\Fernando\Escritorio\CFScript.txt
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!

FILE
F:\WINDOWS\system32\kbiasbqo.dll
F:\WINDOWS\system32\kxfsdbsa.ini
F:\WINDOWS\system32\ouvcvxrq.ini
F:\WINDOWS\system32\qrxvcvuo.dll
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

F:\WINDOWS\cookies.ini
F:\WINDOWS\system32\kxfsdbsa.ini
F:\WINDOWS\system32\nGpxx01
F:\WINDOWS\system32\ouvcvxrq.ini
F:\WINDOWS\system32\qrxvcvuo.dll

.
(((((((((((((((((( Archivos creados desde 2008-01-14 - 2008-02-14 )))))))))))))))))))))))))))))))))
.

2008-02-06 18:32 . 2008-02-06 18:32 <DIR> d-------- F:\WINDOWS\system32\config\systemprofile\Configura ción local
2008-02-06 18:32 . 2008-02-06 18:32 <DIR> d-------- F:\Documents and Settings\Puri\Configuración local
2008-02-06 18:32 . 2008-02-06 18:32 <DIR> d-------- F:\Documents and Settings\NetworkService\Configuración local
2008-02-06 18:32 . 2008-02-06 18:32 <DIR> d-------- F:\Documents and Settings\LocalService\Configuración local
2008-02-06 18:32 . 2008-02-06 18:32 <DIR> d-------- F:\Documents and Settings\Fernando\Configuración local
2008-02-06 18:32 . 2008-02-06 18:32 <DIR> d-------- F:\Documents and Settings\FERNANDO-BTBAXD\ASPNET\Configuración local
2008-02-06 18:32 . 2008-02-06 18:32 <DIR> d-------- F:\Documents and Settings\Default User\Configuración local
2008-02-06 18:18 . 2004-08-19 14:42 402,944 --a------ F:\kmd.exe
2008-02-04 18:23 . 2008-02-04 19:34 <DIR> d-------- F:\Archivos de programa\CCleaner
2008-02-02 22:24 . 2008-02-03 00:02 <DIR> d-------- F:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2008-02-02 22:24 . 2008-02-02 22:24 <DIR> d-------- F:\Archivos de programa\Spybot - Search & Destroy
2008-01-27 22:13 . 2008-01-27 22:13 360,064 --a------ F:\WINDOWS\system32\drivers\TCPIP.SYS.ORIGINAL

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-02-14 17:08 --------- d-----w F:\Archivos de programa\eMule
2008-02-12 22:27 --------- d-----w F:\Documents and Settings\Fernando\Datos de programa\uTorrent
2008-02-10 10:19 --------- d-----w F:\Documents and Settings\All Users\Datos de programa\DVD Shrink
2008-02-07 22:42 --------- d-----w F:\Archivos de programa\FlashGet
2008-02-03 20:07 --------- d-----w F:\Archivos de programa\TimeSync
2008-01-28 16:48 360,064 ----a-w F:\WINDOWS\system32\drivers\TCPIP.SYS
2006-12-04 20:21 1,299 ----a-w F:\Archivos de programa\INSTALL.LOG
2006-06-29 17:33 19,448 ----a-w F:\Documents and Settings\Fernando\Datos de programa\GDIPFONTCACHEV1.DAT
2005-12-01 14:44 19,448 ----a-w F:\Documents and Settings\Puri\Datos de programa\GDIPFONTCACHEV1.DAT
2004-05-31 21:38 1,417,683 ----a-w F:\Archivos de programa\Default.jcd
1998-02-10 17:34 128,000 ----a-w F:\Archivos de programa\UNWISE.EXE
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"24551741"="F:\WINDOWS\system32\qrxvcvuo.dll" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 14:42 15360]

R0 NaiFsRec;NaiFsRec;F:\WINDOWS\system32\drivers\NaiF sRec.sys [2001-04-30 03:51]
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;F:\WINDOWS\system32\NSNDIS5.SYS [2004-03-24 03:12]

.
************************************************** ************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-14 18:23:32
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
------------------------ Other Running Processes ------------------------
.
F:\Archivos de programa\Network Associates\VirusScan\avsynmgr.exe
F:\WINDOWS\system32\inetsrv\inetinfo.exe
F:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
F:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
F:\Archivos de programa\Network Associates\VirusScan\VsStat.exe
F:\Archivos de programa\Network Associates\VirusScan\Vshwin32.exe
F:\Archivos de programa\Archivos comunes\Network Associates\McShield\mcshield.exe
F:\Archivos de programa\Network Associates\VirusScan\Avconsol.exe
F:\WINDOWS\system32\rundll32.exe
.
************************************************** ************************
.
Tiempo completado: 2008-02-14 18:27:54 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-14 17:27:48
ComboFix2.txt 2008-02-06 17:32:37
.
2008-01-10 20:44:49 --- E O F ---

Muchas gracias y quedo a la espera

Corrección de las 19:30

Para verificar el correcto funcionamientode mi equipo ejecuté de nuevo el HijackThis y comprobé que existía una entrada relacionada con la dichosa qrxvcvuo.dll De modo que la marque y realicé el fix Checked. Al reinicar el PC ya no ha vuelto a salir el error que comentaba antes.

Más tranquilo sigo a la espera para que cerremos el hilo...

Hola, esa es solo una llave en el registro que no se elimino correctamente por lo que repetí los pasos de arriba pero solo con esto:

reinicia y nos contas...

Salu2

Aunque todo parecía ir correctamente, lo mejor suele ser hacer caso a los expertos. De modo que he ejecutado tus últimas instrucciones y aquí te dejo el último reporte del ComboFix:

ComboFix 08-02-14.2 - Fernando 2008-02-14 21:49:06.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.536 [GMT 1:00]
Se ejecuta desde: F:\Documents and Settings\Fernando\Escritorio\ComboFix.exe
Command switches used :: F:\Documents and Settings\Fernando\Escritorio\CFScript.txt
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((( Archivos creados desde 2008-01-14 - 2008-02-14 )))))))))))))))))))))))))))))))))
.

2008-02-06 18:32 . 2008-02-14 18:27 <DIR> d-------- F:\WINDOWS\system32\config\systemprofile\Configura ci¾n local
2008-02-06 18:32 . 2008-02-14 18:27 <DIR> d-------- F:\Documents and Settings\Puri\Configuraci¾n local
2008-02-06 18:32 . 2008-02-14 18:27 <DIR> d-------- F:\Documents and Settings\NetworkService\Configuraci¾n local
2008-02-06 18:32 . 2008-02-14 18:27 <DIR> d-------- F:\Documents and Settings\LocalService\Configuraci¾n local
2008-02-06 18:32 . 2008-02-14 18:27 <DIR> d-------- F:\Documents and Settings\Fernando\Configuraci¾n local
2008-02-06 18:32 . 2008-02-14 18:27 <DIR> d-------- F:\Documents and Settings\FERNANDO-BTBAXD\ASPNET\Configuraci¾n local
2008-02-06 18:32 . 2008-02-14 18:27 <DIR> d-------- F:\Documents and Settings\Default User\Configuraci¾n local
2008-02-06 18:18 . 2004-08-19 14:42 402,944 --a------ F:\kmd.exe
2008-02-04 18:23 . 2008-02-04 19:34 <DIR> d-------- F:\Archivos de programa\CCleaner
2008-02-02 22:24 . 2008-02-03 00:02 <DIR> d-------- F:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2008-02-02 22:24 . 2008-02-02 22:24 <DIR> d-------- F:\Archivos de programa\Spybot - Search & Destroy
2008-01-27 22:13 . 2008-01-27 22:13 360,064 --a------ F:\WINDOWS\system32\drivers\TCPIP.SYS.ORIGINAL

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-02-14 20:27 --------- d-----w F:\Archivos de programa\eMule
2008-02-12 22:27 --------- d-----w F:\Documents and Settings\Fernando\Datos de programa\uTorrent
2008-02-10 10:19 --------- d-----w F:\Documents and Settings\All Users\Datos de programa\DVD Shrink
2008-02-07 22:42 --------- d-----w F:\Archivos de programa\FlashGet
2008-02-03 20:07 --------- d-----w F:\Archivos de programa\TimeSync
2008-01-28 16:48 360,064 ----a-w F:\WINDOWS\system32\drivers\TCPIP.SYS
2006-12-04 20:21 1,299 ----a-w F:\Archivos de programa\INSTALL.LOG
2006-06-29 17:33 19,448 ----a-w F:\Documents and Settings\Fernando\Datos de programa\GDIPFONTCACHEV1.DAT
2005-12-01 14:44 19,448 ----a-w F:\Documents and Settings\Puri\Datos de programa\GDIPFONTCACHEV1.DAT
2004-05-31 21:38 1,417,683 ----a-w F:\Archivos de programa\Default.jcd
1998-02-10 17:34 128,000 ----a-w F:\Archivos de programa\UNWISE.EXE
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 14:42 15360]

F:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\
Adobe Gamma Loader.exe.lnk - F:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe [2004-06-08 19:04:33 108544]
Microsoft Office.lnk - F:\Archivos de programa\Microsoft Office\Office10\OSA.EXE [2001-02-13 08:01:04 83360]

R0 NaiFsRec;NaiFsRec;F:\WINDOWS\system32\drivers\NaiF sRec.sys [2001-04-30 03:51]
R2 AvSynMgr;AVSync Manager;"F:\Archivos de programa\Network Associates\VirusScan\avsynmgr.exe" [2001-04-30 03:51]
R2 SMTPSVC;Protocolo simple de transferencia de correo (SMTP);F:\WINDOWS\system32\inetsrv\inetinfo.exe [2004-08-19 14:42]
S2 B54GT Wireless Service;802.11g Wireless Network Adapter;F:\Archivos de programa\B54GT Wireless Monitor\WLService.exe []
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;F:\WINDOWS\system32\NSNDIS5.SYS [2004-03-24 03:12]
S3 ZD1211U(3COM Corporation);3COM OfficeConnect Wireless 11g Compact USB Adapter(3COM Corporation);F:\WINDOWS\system32\DRIVERS\zd1211u.s ys []

.
************************************************** ************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-14 21:51:44
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
Tiempo completado: 2008-02-14 21:52:57
ComboFix-quarantined-files.txt 2008-02-14 20:52:43
ComboFix2.txt 2008-02-14 17:27:54
ComboFix3.txt 2008-02-06 17:32:37
.
2008-01-10 20:44:49 --- E O F ---

Espero que ya haya quedado todo correcto.

Ya me contarás...

*****2008/02/15***********Continúan los problemas********
Tras reiniciar el ordenador, nada más iniciar me han aparecido varias pantallas del CMD reportándone un error. Preocupado he pasado de nuevo el HijackThis y he obtenido el siguiente report, añadir además que el SpyBot no me ha detectado nada sospechoso, Sospecho de las líneas del epígrafe 20 que he marcado en rojo. ¿Cual es la solución?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 3:01:38, on 16/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Archivos de programa\Network Associates\VirusScan\avsynmgr.exe
F:\WINDOWS\system32\inetsrv\inetinfo.exe
F:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
F:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
F:\Archivos de programa\Network Associates\VirusScan\VsStat.exe
F:\Archivos de programa\Network Associates\VirusScan\Vshwin32.exe
F:\WINDOWS\Explorer.EXE
F:\Archivos de programa\Network Associates\VirusScan\Avconsol.exe
F:\Archivos de programa\Archivos comunes\Network Associates\McShield\mcshield.exe
F:\WINDOWS\system32\wuauclt.exe
F:\Instaladores\XCleaner\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = 192.168.1.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6FC51C42-9892-4D99-A839-4DA4DDBA4553} - (no file)
O2 - BHO: (no name) - {98663E21-9CCE-4CF6-863C-911A9523A66F} - (no file)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - F:\ARCHIV~1\FlashGet\Jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:\ARCHIV~1\FlashGet\fgiebar.dll
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = F:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Descargar TODO con FlashGet - F:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Descargar usando FlashGet - F:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://F:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\ARCHIV~1\FlashGet\flashget.exe
O16 - DPF: Cab1 - http://deuscleaneronline.com/CleanerInstall.cab
O16 - DPF: {0CB429C3-099E-4EF8-9C8C-357CDB273DEF} (VisioWebControl) - http://www.ipvision.fr/luz/VisioWeb.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C85E1AF0-4E62-4E33-B554-75908F9ACA9B}: NameServer = 62.151.2.8,80.58.61.254
O20 - Winlogon Notify: rqrpmml - F:\WINDOWS\
O20 - Winlogon Notify: zvdgecuo - F:\WINDOWS\
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - F:\Archivos de programa\Network Associates\VirusScan\avsynmgr.exe
O23 - Service: 802.11g Wireless Network Adapter (B54GT Wireless Service) - Unknown owner - F:\Archivos de programa\B54GT Wireless Monitor\WLService.exe (file missing)
O23 - Service: McShield - Unknown owner - F:\Archivos de programa\Archivos comunes\Network Associates\McShield\mcshield.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - F:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 4559 bytes

Esto se está volviendo insufrible, necesito tu ayuda gracias.

Hola, lamento la demora y recién podría estar viendo los reportes el día lunes.

Hacele un escaneo completo con:

• VundoFix
• Dr.Web CureIt!
• Kaspersky Antivirus Online

Reinicia y nos dejas los reportes.

Salu2

[Mode Ironic ON]
¿Viendo los deportes? ¿Pero los informáticos no somos unos seres vestidos con albornoz que sobreviven encerrados en los sótanos controlando ordenadores? (ver Die Hard 4.0)
[Mode Ironic OFF]

Pero vayamos a lo que nos ocupa. Parece que la cosa va a ser bastante más dura de lo que parecía.

He ejecutado el VundoFix con resultado negativo:

================================================== ===

VundoFix V6.7.8

Checking Java version...

Sun Java not detected
Scan started at 7:27:36 17/02/2008

Listing files found while scanning....

No infected files were found.

================================================== ====

A continuación he ido a ejecutar el Dr.Web Cureit! y el PC se ha apagado y devuelto un pantallazo azul de error grave. En el informe que resulta del error la información es la siguiente (no se si servirá de algo)

----------------------------------------------------------------------

F:\DOCUME~1\Fernando\CONFIG~1\Temp\WERc50c.dir00\M ini021708-02.dmp
F:\DOCUME~1\Fernando\CONFIG~1\Temp\WERc50c.dir00\s ysdata.xml

-----------------------------------------------------------------------

Eso ya me ha asustado bastante, pero tras rearrancar de nuevo he pasado el Antivirus Karpersky Online que me proporciona el informe que pego más abajo. Se me ocurren varias preguntas:

Los virus detectados ¿Los ha eliminado ya el Karspersky, o debo eliminarlos con tus instrucciones?

Mi antivirus Vshieeld MacAfee ¿Porque no me los ha detectado?

¿Es muy grave lo que me sucede? ¿Por qué no puedo ejecutar el DR.Web?

Bueno aquí dejo el informe del Karpersky ansioso de un respuesta y/o solución.

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
domingo, 17 de febrero de 2008 14:29:28
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 17/02/2008
Registros en la base antivirus: 527663
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: standard
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
A:\
C:\
D:\
E:\
F:\
G:\

Estadísticas:
Número de objeros analizados: 164494
Virus encontrados: 7
Objetos infectados: 10 / 0
Objetos sospechosos: 2
Duración del análisis: 02:55:26

Bombre del objeto infectado / Nombre del virus / Última acción
C:\Pc-Viejo\Carpeta-2\JUEGOS\SHANG2\DE.EXE Sospechosos: Virus.DOS.Drop.1131 saltado
C:\Pc-Viejo\Carpeta-2\JUEGOS\SHANG2\INSTALL.EXE Sospechosos: Virus.DOS.Drop.1131 saltado
C:\winnt\WINDOWS\SYSTEM\SHELLEXT\gamepad.EXE Infectados: Trojan.Win32.Delf.bg saltado
F:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2008-02-17.08-42-17.log Object is locked saltado
F:\Documents and Settings\Fernando\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
F:\Documents and Settings\Fernando\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
F:\Documents and Settings\Fernando\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
F:\Documents and Settings\Fernando\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
F:\Documents and Settings\Fernando\Cookies\index.dat Object is locked saltado
F:\Documents and Settings\Fernando\NTUSER.DAT Object is locked saltado
F:\Documents and Settings\Fernando\ntuser.dat.LOG Object is locked saltado
F:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
F:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
F:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
F:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
F:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
F:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
F:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
F:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
F:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
F:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
F:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
F:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
F:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
F:\WINDOWS\Downloaded Program Files\webinst.dll Infectados: not-virus:Hoax.Win32.Renos.asm saltado
F:\WINDOWS\SchedLgU.Txt Object is locked saltado
F:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado
F:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
F:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
F:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
F:\WINDOWS\system32\config\default Object is locked saltado
F:\WINDOWS\system32\config\default.LOG Object is locked saltado
F:\WINDOWS\system32\config\SAM Object is locked saltado
F:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
F:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
F:\WINDOWS\system32\config\SECURITY Object is locked saltado
F:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
F:\WINDOWS\system32\config\software Object is locked saltado
F:\WINDOWS\system32\config\software.LOG Object is locked saltado
F:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
F:\WINDOWS\system32\config\system Object is locked saltado
F:\WINDOWS\system32\config\system.LOG Object is locked saltado
F:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado
F:\WINDOWS\system32\h323log.txt Object is locked saltado
F:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
F:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
F:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
F:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
F:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
F:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
F:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
F:\WINDOWS\system32\~uninstal.exe/data.rar/lssas.exe Infectados: Backdoor.Win32.ServU-based saltado
F:\WINDOWS\system32\~uninstal.exe/data.rar/ms32.dll Infectados: Backdoor.IRC.Zapchast saltado
F:\WINDOWS\system32\~uninstal.exe/data.rar/msthost.exe Infectados: Backdoor.Win32.mIRC-based saltado
F:\WINDOWS\system32\~uninstal.exe/data.rar/qos.dll Infectados: Backdoor.IRC.Zapchast saltado
F:\WINDOWS\system32\~uninstal.exe/data.rar/setsys.exe Infectados: HackTool.Win32.Aost saltado
F:\WINDOWS\system32\~uninstal.exe/data.rar/setuphlp.cmd Infectados: Backdoor.IRC.Zapchast saltado
F:\WINDOWS\system32\~uninstal.exe/data.rar Infectados: Backdoor.IRC.Zapchast saltado
F:\WINDOWS\system32\~uninstal.exe RarSFX: infectado - 7 saltado
F:\WINDOWS\TEMP\bca4e2da.$$$ Object is locked saltado
F:\WINDOWS\TEMP\fa56d7ec.$$$ Object is locked saltado
F:\WINDOWS\WindowsUpdate.log Object is locked saltado

Análisis completado.

----------------------------------------------------------------------

Un saludo

Hola, lo del Dr Web puede que sea que este no es compatible con algún programa que tengas y por eso el error.

Sobre lo que muestra el KAS online, esto tendrías que borrarlo manualmente:

• C:\winnt\WINDOWS\SYSTEM\SHELLEXT\gamepad.EXE"
• F:\WINDOWS\system32\~uninstal.exe

Con HijackThis dale a estas entradas:

O2 - BHO: (no name) - {6FC51C42-9892-4D99-A839-4DA4DDBA4553} - (no file)

O2 - BHO: (no name) - {98663E21-9CCE-4CF6-863C-911A9523A66F} - (no file)

O20 - Winlogon Notify: rqrpmml - F:\WINDOWS\

O20 - Winlogon Notify: zvdgecuo - F:\WINDOWS\

Reinicia y nos contas como funciona todo.

Salu2