Buenas Aca les dejo mi log asi alguien tiene un tiempito lo puede revisar ya que probe con muchas herramientas y no la puedo acomodar yo solo.
Tmb tengo otro problema que nose si sera por algun drive o mi mother. Cuando inicia la pc el explorer se cuelga osea queda la pantalla tildada tengo que darle a cntrol+alt+supr y terminar el proceso explorer.exe y luego iniciarlo de nuevo. Esto me pasa cada vez que inicia la maquina ya probe formatiandola pero sigue en lo mismo....

LOG:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:44:33 p.m., on 14/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20661)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.546 2\GoogleToolbarNotifier.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\honestech\honestech TVR\honestechTV.exe
C:\WINDOWS\system32\rundll32.exe
C:\ARCHIV~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.theoneangel.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=5130
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = :
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [VisualTask] C:\Archivos de programa\VisualTask\VisualTaskTips.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TV Card Remote Control Device Monitor] C:\WINDOWS\878RMTMon.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1535.exe 61A847B5BBF7281337983D466188719AB689201522886B092C BD44BD8689220221DD3257
O4 - HKLM\..\Run: [InvisibleIPMap] "C:\Archivos de programa\Invisible IP Map\InvisibleIP.exe" /startup
O4 - HKLM\..\Run: [BM1384e10c] Rundll32.exe "C:\WINDOWS\system32\hoddorth.dll",s
O4 - HKLM\..\Run: [10b7d290] rundll32.exe "C:\WINDOWS\system32\fwglapdy.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.546 2\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: ScheduleTV.lnk = C:\Archivos de programa\honestech\honestech TVR\scheduleTV.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFCA44E4-F09B-4BD7-90D2-FD6B8392DB4B}: NameServer = 10.14.21.1
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

Hola salomonm,Bienvenido a Infospyware.

Tienes que ir a Centro de descarga y comprobar si tienes todos los parches instalados.

Ves a Inicio > Ejecutar,y escribes: %TEMP% - cuando se te abra la carpeta, borra todos los archivos que aparezcan en ella, pero NO borres la carpeta TEMP sólo su contenido.Vacía la papelera.

Descarga éstas herramientas,en el escritorio de Windows y descomprímala,pero no la ejecutes aún.

VundoFix.exe
Malwarebytes Anti-Malware

Realiza todos los pasos sin saltarte ninguno,por favor.

Apaga tu ruter/moden y desconecta el cable de tf. de la torre.

Reinicia el PC en Modo a prueba de fallos

Ejecuta el hijackthis y con todos lo programas cerrados marca las siguientes entradas y pulsa en FIX Checked:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = :
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1535.exe 61A847B5BBF7281337983D466188719AB689201522886B092C BD44BD8689220221DD3257
O4 - HKLM\..\Run: [InvisibleIPMap] "C:\Archivos de programa\Invisible IP Map\InvisibleIP.exe" /startup

O4 - HKLM\..\Run: [BM1384e10c] Rundll32.exe "C:\WINDOWS\system32\hoddorth.dll",s
O4 - HKLM\..\Run: [10b7d290] rundll32.exe "C:\WINDOWS\system32\fwglapdy.dll",b
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

Sin reiniciar,busca y elimina estos archivos/carpetas.Utiliza el FileASSASSIN si no puedes eliminarlos.

C:\WINDOWS\mrofinu1535.exe
C:\WINDOWS\system32\hoddorth.dll",s
C:\WINDOWS\system32\fwglapdy.dll",b


Elimina todas las cuarentenas que tengas y vacía la papelera.

Pasa estas herramientas y por éste orden.
CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).Pásalo hasta que no te salga nada.

Ejecuta ahora el VundoFix.exe y sigues todos los pasos que previamente te has imprimido.

Pasa a continuación el Malwarebytes Anti-Malware marcando "Realizar un examen completo" y cuando termines del escaneo reinicias a continuación.

Reinicias y te conectas a la red.

Pones aquí los reportes de las 2 herramientas (Malwarebytes y VundoFix) para analizarlos y nos cuentas si se solucionaron los problemas o si persisten.


*Si tienes alguna duda,te puedes imprimir las instrucciones.

Bueno he seguido los pasos y se solucionaron los probñlemas con las paginas y ahora corre de 10 la maquina lo que sigue igual es que se cuelga el explorer al iniciar y tengo que cerrarlo y abrirlo desde le administrador de tareas.
aca les dejo los log




VundoFix V7.0.3

Scan started at 04:01:57 p.m. 15/03/2008

Listing files found while scanning....

C:\windows\system32\qttss.ini
C:\windows\system32\qttss.ini2
C:\windows\system32\ssttq.dll

Beginning removal...

Attempting to delete C:\windows\system32\qttss.ini
C:\windows\system32\qttss.ini Has been deleted!

Attempting to delete C:\windows\system32\qttss.ini2
C:\windows\system32\qttss.ini2 Has been deleted!

Attempting to delete C:\windows\system32\ssttq.dll
C:\windows\system32\ssttq.dll Has been deleted!

Performing Repairs to the registry.
Done!




Malwarebytes' Anti-Malware 1.08
Versión de la Base de Datos: 471

Tipo de examen : Examen Completo (C:\|D:\|)
Objetos examinados: 202725
Tiempo transcurrido: 2 hour(s), 16 minute(s), 52 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 3
Claves del Registro Infectadas: 26
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 2
Carpetas Infectadas: 1
Ficheros Infectados: 16

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
c:\WINDOWS\Temp\cma3.tmp (BackDoor.ProRat) -> Unloaded module successfully.
C:\WINDOWS\system32\awtqr.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\opnlmmj.dll (Trojan.Vundo) -> Unloaded module successfully.

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{03344237-4e4d-47be-a091-4770792170e4} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{03344237-4e4d-47be-a091-4770792170e4} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\Interface\{f7d09218-46d7-4d3d-9b7f-315204cd0836} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{e63648f7-3933-440e-b4f6-a8584dd7b7eb} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\e404.e404mgr (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c03fd59d-9104-44b7-929a-9eaa0ba05211} (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{c03fd59d-9104-44b7-929a-9eaa0ba05211} (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\e404.e404mgr.1 (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\jkwslist (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\aldd (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\WR (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\E404.e404mgr (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{e9383002-fc55-4330-b9c9-67e03bc5c840} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{e9383002-fc55-4330-b9c9-67e03bc5c840} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\opnlmmj (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks\{e9383002-fc55-4330-b9c9-67e03bc5c840} (Trojan.Vundo) -> Delete on reboot.

Elementos de Datos del Registro Infectados:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\awtqr.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\awtqr.dll -> Quarantined and deleted successfully.

Carpetas Infectadas:
C:\Archivos de programa\Helper (Adware.BHO) -> Quarantined and deleted successfully.

Ficheros Infectados:
c:\WINDOWS\Temp\cma3.tmp (BackDoor.ProRat) -> Delete on reboot.
C:\WINDOWS\system32\awtqr.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\rqtwa.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rqtwa.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rhofggue.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\euggfohr.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Archivos de programa\Helper\1205393661.dll (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Archivos de programa\Ares\tcpip_patcher.sys (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\JXVIWHBG\sdferw[1].htm (Trojan.Agent) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{DE9F467B-42F7-47DA-AAFF-F02DADAAF872}\RP14\A0003217.exe (Adware.Craagle) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{DE9F467B-42F7-47DA-AAFF-F02DADAAF872}\RP9\A0000430.exe (Adware.Craagle) -> Quarantined and deleted successfully.
C:\onhtp.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\mrofinu1535.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\opnlmmj.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\yaywwxy.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\d.exe (Malware.Trace) -> Quarantined and deleted successfully.


y por las dudas les dejo el nuevo log del hijack luego de hacer todos los pasos. espero que revisen haver is esta todo bien.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:01:15 a.m., on 16/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20661)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\explorer.exe
C:\ARCHIV~1\Mozilla Firefox\firefox.exe
C:\ARCHIV~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.theoneangel.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=5130
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [VisualTask] C:\Archivos de programa\VisualTask\VisualTaskTips.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TV Card Remote Control Device Monitor] C:\WINDOWS\878RMTMon.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [BM1384e10c] Rundll32.exe "C:\WINDOWS\system32\rggqahip.dll",s
O4 - HKLM\..\Run: [10b7d290] rundll32.exe "C:\WINDOWS\system32\rhofggue.dll",b
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware Reboot] "C:\Archivos de programa\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.546 2\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: ScheduleTV.lnk = C:\Archivos de programa\honestech\honestech TVR\scheduleTV.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFCA44E4-F09B-4BD7-90D2-FD6B8392DB4B}: NameServer = 10.14.21.1
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

Hola salomonm

Lo tienes todo más o menos igual....el problema es que el vundo cada vez que se reinicia cambia de .dll por lo que hace más trabajoso eliminarlo por eso es importante seguir bien todos los pasos.

Ves a Inicio > Ejecutar,y escribes: %TEMP% - cuando se te abra la carpeta, borra todos los archivos que aparezcan en ella, pero NO borres la carpeta TEMP sólo su contenido.Vacía la papelera.

Descarga éstas herramientas,en el escritorio de Windows y descomprímala,pero no la ejecutes aún.

- Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

Realiza todos los pasos sin saltarte ninguno,por favor.

Apaga tu ruter/moden y desconecta el cable de tf. de la torre.

Reinicia el PC en Modo a prueba de fallos

Ejecuta el hijackthis y con todos lo programas cerrados marca las siguientes entradas y pulsa en FIX Checked:

O4 - HKLM\..\Run: [BM1384e10c] Rundll32.exe "C:\WINDOWS\system32\rggqahip.dll",s
O4 - HKLM\..\Run: [10b7d290] rundll32.exe "C:\WINDOWS\system32\rhofggue.dll",b


Sin reiniciar,busca y elimina estos archivos/carpetas.Utiliza el FileASSASSIN si no puedes eliminarlos.

C:\WINDOWS\system32\rggqahip.dll",s
C:\WINDOWS\system32\rhofggue.dll",b
c:\WINDOWS\Temp\cma3.tmp

C:\WINDOWS\system32\awtqr.dll
C:\WINDOWS\system32\opnlmmj.dll
C:\Archivos de programa\Helper

Elimina todas las cuarentenas que tengas y vacía la papelera.

Pasa estas herramientas y por éste orden:

CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).Pásalo hasta que no te salga nada.

El Malwarebytes Anti-Malware marcando "Realizar un examen completo" y cuando termines del escaneo reinicias a continuación. Previamente y antes de hacer todo lo actualizas.

Reinicias y sin conectarte a la red y seguido le pasas el Combo.Es muy importante seguir las instrucciones del Combo para que pueda tener efectividad.

Pones los 3 reportes el del Combo,Malwarebytes,hjk. y nos cuentas como te va todo.

*Si tienes alguna duda,te puedes imprimir las instrucciones.

La cosa sigue jodida :( aca les dejo los logs. No me deja eliminar los temp y ahora no me deja usar el malwarebyte porque archivos temp estan molestando. la verdad me tiene desconcertado todo esto :S



HijackThis v2.0.2

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:35:19 p.m., on 17/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20661)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe
C:\Archivos de programa\Unlocker\UnlockerAssistant.exe
C:\Archivos de programa\VisualTask\VisualTaskTips.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\878RMTMon.exe
C:\WINDOWS\878RMT.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.theoneangel.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=5130
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {492B0575-792D-42FD-AA9E-5A9D05D48DEE} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [VisualTask] C:\Archivos de programa\VisualTask\VisualTaskTips.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TV Card Remote Control Device Monitor] C:\WINDOWS\878RMTMon.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.546 2\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: ScheduleTV.lnk = C:\Archivos de programa\honestech\honestech TVR\scheduleTV.exe
O4 - Global Startup: Todo.CMD
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFCA44E4-F09B-4BD7-90D2-FD6B8392DB4B}: NameServer = 10.14.21.1
O20 - Winlogon Notify: opnlmmj - opnlmmj.dll (file missing)
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe






ComboFix

ComboFix 08-03-14.4 - Angelical 2008-03-17 14:15:47.3 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.828 [GMT -5:00]
Se ejecuta desde: C:\Documents and Settings\Angelical\Escritorio\ComboFix.exe

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.
The following files were disabled during the run:
C:\WINDOWS\Temp\lea4.tmp


(((((((((((((((((( Archivos creados desde 2008-02-17 - 2008-03-17 )))))))))))))))))))))))))))))))))
.

2008-03-17 05:10 . 2008-03-17 05:11 <DIR> d-------- C:\Archivos de programa\FileASSASSIN
2008-03-17 02:04 . 2008-03-17 05:04 1,367,207 ---hs---- C:\WINDOWS\system32\dacslvxk.ini
2008-03-15 22:14 . 2008-03-15 22:14 <DIR> d-------- C:\Documents and Settings\Angelical\Datos de programa\Malwarebytes
2008-03-15 22:13 . 2008-03-15 22:13 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-03-15 22:13 . 2008-03-16 01:51 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-03-15 16:01 . 2008-03-15 22:12 <DIR> d-------- C:\VundoFix Backups
2008-03-14 20:44 . 2008-03-14 20:44 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-03-14 20:37 . 2008-03-15 15:39 1,366,803 ---hs---- C:\WINDOWS\system32\ydpalgwf.ini
2008-03-13 20:38 . 2008-03-13 20:38 1,346,510 ---hs---- C:\WINDOWS\system32\goijotwb.ini
2008-03-13 05:02 . 2008-03-15 15:39 36,864 --a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-03-13 05:02 . 2008-03-15 15:39 17,878 --ah----- C:\WINDOWS\system32\vcmgcd32.dl_
2008-03-13 04:59 . 2008-03-13 04:59 <DIR> d-------- C:\Archivos de programa\Invisible IP Map
2008-03-13 02:33 . 2008-03-13 02:33 2 --a------ C:\280482367
2008-03-12 09:17 . 2008-03-12 09:17 <DIR> d-------- C:\Archivos de programa\MSN Messenger
2008-03-12 07:13 . 2008-03-12 07:13 <DIR> d-------- C:\Documents and Settings\Angelical\Datos de programa\CyberLink
2008-03-12 07:13 . 2008-03-12 07:13 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\CyberLink
2008-03-12 07:12 . 2008-03-12 07:12 <DIR> d-------- C:\Archivos de programa\CyberLink
2008-03-12 07:12 . 2001-03-08 18:30 24,064 --------- C:\WINDOWS\system32\msxml3a.dll
2008-03-12 03:53 . 2008-03-12 03:53 <DIR> d-------- C:\Documents and Settings\Angelical\Datos de programa\Gena01
2008-03-12 00:45 . 2008-03-12 00:45 <DIR> d-------- C:\WINDOWS\Sun
2008-03-11 23:57 . 2008-03-11 23:57 <DIR> d-------- C:\Archivos de programa\Ashkon Software
2008-03-11 23:36 . 1999-05-07 00:00 140,288 --a------ C:\WINDOWS\system32\Comdlg32.ocx
2008-03-11 23:27 . 2003-04-19 20:52 115,016 --a------ C:\WINDOWS\system32\Msinet.ocx
2008-03-11 21:30 . 2008-03-11 21:30 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\nView_Profiles
2008-03-11 21:13 . 2008-03-17 03:08 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-03-11 21:12 . 2004-08-19 15:43 16,384 --a------ C:\WINDOWS\system32\ipsink.ax
2008-03-11 21:12 . 2004-08-19 15:43 16,384 --a--c--- C:\WINDOWS\system32\dllcache\ipsink.ax
2008-03-11 21:12 . 2004-08-03 23:10 15,360 --a------ C:\WINDOWS\system32\drivers\StreamIP.sys
2008-03-11 21:12 . 2004-08-03 23:10 15,360 --a--c--- C:\WINDOWS\system32\dllcache\streamip.sys
2008-03-11 21:12 . 2004-08-03 23:10 10,880 --a------ C:\WINDOWS\system32\drivers\NdisIP.sys
2008-03-11 21:12 . 2004-08-03 23:10 10,880 --a--c--- C:\WINDOWS\system32\dllcache\ndisip.sys
2008-03-11 21:12 . 2004-08-03 22:58 5,504 --a------ C:\WINDOWS\system32\drivers\MSTEE.sys
2008-03-11 21:12 . 2004-08-03 22:58 5,504 --a--c--- C:\WINDOWS\system32\dllcache\mstee.sys
2008-03-11 21:11 . 2004-08-03 23:10 85,376 --a------ C:\WINDOWS\system32\drivers\NABTSFEC.sys
2008-03-11 21:11 . 2004-08-03 23:10 85,376 --a--c--- C:\WINDOWS\system32\dllcache\nabtsfec.sys
2008-03-11 21:11 . 2004-08-03 23:10 19,328 --a------ C:\WINDOWS\system32\drivers\WSTCODEC.SYS
2008-03-11 21:11 . 2004-08-03 23:10 19,328 --a--c--- C:\WINDOWS\system32\dllcache\wstcodec.sys
2008-03-11 21:11 . 2004-08-03 23:10 17,024 --a------ C:\WINDOWS\system32\drivers\CCDECODE.sys
2008-03-11 21:11 . 2004-08-03 23:10 17,024 --a--c--- C:\WINDOWS\system32\dllcache\ccdecode.sys
2008-03-11 21:11 . 2004-08-03 23:10 11,136 --a------ C:\WINDOWS\system32\drivers\SLIP.sys
2008-03-11 21:11 . 2004-08-03 23:10 11,136 --a--c--- C:\WINDOWS\system32\dllcache\slip.sys
2008-03-11 21:07 . 2008-03-11 21:07 <DIR> d-------- C:\Archivos de programa\honestech
2008-03-11 21:06 . 2004-08-19 15:43 91,136 --a------ C:\WINDOWS\system32\kswdmcap.ax
2008-03-11 21:06 . 2004-08-19 15:43 91,136 --a--c--- C:\WINDOWS\system32\dllcache\kswdmcap.ax
2008-03-11 21:06 . 2004-08-19 15:43 61,952 --a------ C:\WINDOWS\system32\kstvtune.ax
2008-03-11 21:06 . 2004-08-19 15:43 61,952 --a--c--- C:\WINDOWS\system32\dllcache\kstvtune.ax
2008-03-11 21:06 . 2004-08-19 15:42 54,784 --a------ C:\WINDOWS\system32\vfwwdm32.dll
2008-03-11 21:06 . 2004-08-19 15:42 54,784 --a--c--- C:\WINDOWS\system32\dllcache\vfwwdm32.dll
2008-03-11 21:06 . 2004-08-19 15:43 43,008 --a------ C:\WINDOWS\system32\ksxbar.ax
2008-03-11 21:06 . 2004-08-19 15:43 43,008 --a--c--- C:\WINDOWS\system32\dllcache\ksxbar.ax
2008-03-11 21:06 . 2004-08-19 15:43 28,672 --a------ C:\WINDOWS\system32\vidcap.ax
2008-03-11 21:06 . 2004-08-19 15:43 28,672 --a--c--- C:\WINDOWS\system32\dllcache\vidcap.ax
2008-03-11 20:14 . 2008-03-11 20:14 <DIR> d-------- C:\Documents and Settings\Angelical\Datos de programa\Talkback
2008-03-11 20:14 . 2004-08-03 23:07 52,864 --a------ C:\WINDOWS\system32\drivers\DMusic.sys
2008-03-11 20:14 . 2004-08-03 23:07 52,864 --a--c--- C:\WINDOWS\system32\dllcache\dmusic.sys
2008-03-11 20:14 . 2008-03-11 20:14 0 --a------ C:\WINDOWS\nsreg.dat
2008-03-11 20:13 . 2001-08-17 22:00 54,272 --a------ C:\WINDOWS\system32\drivers\swmidi.sys
2008-03-11 20:13 . 2001-08-17 22:00 54,272 --a--c--- C:\WINDOWS\system32\dllcache\swmidi.sys
2008-03-11 20:13 . 2006-06-14 02:50 6,272 --a------ C:\WINDOWS\system32\drivers\splitter.sys
2008-03-11 20:13 . 2006-06-14 02:50 6,272 --a--c--- C:\WINDOWS\system32\dllcache\splitter.sys
2008-03-11 20:12 . 2005-05-19 23:00 579,030 --a------ C:\WINDOWS\878RMT.exe
2008-03-11 20:12 . 2005-07-13 23:00 529,888 --a------ C:\WINDOWS\878RMTMon.exe
2008-03-11 20:11 . 2008-03-11 20:11 <DIR> d-------- C:\WINDOWS\MyInstall
2008-03-11 20:11 . 2005-08-10 12:00 204,800 --a------ C:\WINDOWS\system32\878TTXDecoder.ax
2008-03-11 20:09 . 2006-06-14 03:17 82,944 --a------ C:\WINDOWS\system32\drivers\wdmaud.sys
2008-03-11 20:09 . 2006-06-14 03:17 82,944 --a--c--- C:\WINDOWS\system32\dllcache\wdmaud.sys
2008-03-11 20:08 . 2006-06-14 02:50 172,416 --a------ C:\WINDOWS\system32\drivers\kmixer.sys
2008-03-11 20:08 . 2006-06-14 02:50 172,416 --a--c--- C:\WINDOWS\system32\dllcache\kmixer.sys
2008-03-11 20:08 . 2006-02-14 18:22 142,464 --a------ C:\WINDOWS\system32\drivers\aec.sys
2008-03-11 20:08 . 2006-02-14 18:22 142,464 --a--c--- C:\WINDOWS\system32\dllcache\aec.sys
2008-03-11 20:08 . 2004-08-03 23:07 2,944 --a------ C:\WINDOWS\system32\drivers\drmkaud.sys
2008-03-11 20:08 . 2004-08-03 23:07 2,944 --a--c--- C:\WINDOWS\system32\dllcache\drmkaud.sys
2008-03-11 20:06 . 2008-03-11 20:06 <DIR> d-------- C:\Archivos de programa\Realtek Sound Manager
2008-03-11 20:06 . 2008-03-11 20:06 <DIR> d-------- C:\Archivos de programa\Realtek AC97
2008-03-11 20:06 . 2008-03-11 20:06 <DIR> d-------- C:\Archivos de programa\AvRack
2008-03-11 20:06 . 2006-06-20 13:40 18,796,544 --a------ C:\WINDOWS\system32\alsndmgr.cpl
2008-03-11 20:06 . 2006-06-20 13:35 10,705,376 --a------ C:\WINDOWS\system32\RTLCPL.exe
2008-03-11 20:06 . 2006-06-27 01:42 3,972,672 --a------ C:\WINDOWS\system32\drivers\alcxwdm.sys
2008-03-11 20:06 . 2006-06-20 13:42 755,160 --a------ C:\WINDOWS\soundman.exe
2008-03-11 20:06 . 2006-03-19 19:48 493,012 --a------ C:\WINDOWS\alcupd.exe
2008-03-11 20:06 . 2005-11-17 19:20 394,712 --a------ C:\WINDOWS\Alcrmv.exe
2008-03-11 20:06 . 2006-06-07 16:00 143,360 --a------ C:\WINDOWS\system32\RtlCPAPI.dll
2008-03-11 20:06 . 2002-02-04 21:54 141,016 --a------ C:\WINDOWS\system32\alsndmgr.wav
2008-03-11 20:06 . 2001-07-05 08:19 164 --a------ C:\WINDOWS\avrack.ini
2008-03-11 20:03 . 2008-03-11 20:03 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Adobe
2008-03-11 20:02 . 2008-03-11 20:02 <DIR> d-------- C:\Documents and Settings\Angelical\WINDOWS
2008-03-11 20:02 . 2008-03-11 20:02 <DIR> d-------- C:\Documents and Settings\Angelical\Datos de programa\Leadertech
2008-03-11 20:02 . 2008-03-11 20:03 <DIR> d-------- C:\Archivos de programa\viewsonic
2008-03-11 20:02 . 1998-11-13 12:04 485,850 --a------ C:\WINDOWS\IsUn040a.exe
2008-03-11 20:01 . 2008-03-11 20:03 102 --a------ C:\WINDOWS\VSWizard.ini
2008-03-11 19:59 . 2008-03-11 19:59 268 --ah----- C:\sqmdata00.sqm
2008-03-11 19:59 . 2008-03-11 19:59 244 --ah----- C:\sqmnoopt00.sqm
2008-03-11 17:48 . 2008-03-11 20:00 <DIR> d-------- C:\WINDOWS\nview
2008-03-11 17:48 . 2006-11-17 04:29 386,526 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-03-11 17:48 . 2008-03-15 15:39 88,566 --a------ C:\WINDOWS\system32\nvapps.xml
2008-03-11 17:48 . 2006-11-17 04:29 17,056 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-03-11 17:47 . 2006-11-17 19:21 386,526 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-03-11 17:43 . 2008-03-11 17:43 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Messenger Plus!
2008-03-11 17:42 . 2008-03-12 07:12 <DIR> d--h----- C:\Archivos de programa\InstallShield Installation Information
2008-03-11 17:40 . 2008-03-11 17:40 <DIR> d-------- C:\Archivos de programa\VIA

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-03-11 11:59 --------- d-----w C:\Archivos de programa\Archivos comunes\Java
2008-03-11 11:48 --------- d-----w C:\Archivos de programa\microsoft frontpage
2008-03-11 11:47 --------- d-----w C:\Archivos de programa\Visualtask
2008-03-11 11:46 --------- d-----w C:\Archivos de programa\MSXML 6.0
2008-03-11 11:46 --------- d-----w C:\Archivos de programa\MSXML 4.0
2008-03-11 11:41 --------- d-----w C:\Archivos de programa\Windows Media Connect 2
2007-11-11 21:50 113,664 ----a-w C:\WINDOWS\inf\hdaudio.sys
.

------- Sigcheck -------

2007-11-11 20:51 497664 dd127d359acd40d423d3e3a06932eec6 C:\WINDOWS\system32\user32.dll

2007-11-11 20:52 1026048 859ba1f5ce8048655ff7580684431d39 C:\WINDOWS\system32\wininet.dll

2007-11-11 19:09 360576 1ea6be00419127e3dda7193de630d19f C:\WINDOWS\system32\drivers\tcpip.sys

2007-11-11 20:53 1640960 b902e29413e5116122a2a96333b6aa7d C:\WINDOWS\explorer.exe
.
((((((((((((((((((((((((((((( snapshot@2008-03-17_ 5.27.46.53 )))))))))))))))))))))))))))))))))))))))))
.
- 2000-08-31 13:00:00 163,328 ----a-w C:\WINDOWS\erdnt\Hiv-backup\ERDNT.EXE
+ 2000-08-31 13:00:00 340,954 ----a-w C:\WINDOWS\erdnt\Hiv-backup\ERDNT.EXE
- 2000-08-31 13:00:00 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
+ 2000-08-31 13:00:00 340,958 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
- 2001-08-24 06:00:00 59,904 ----a-w C:\WINDOWS\system32\driverquery.exe
+ 2001-08-24 06:00:00 237,540 ----a-w C:\WINDOWS\system32\driverquery.exe
- 2004-08-19 15:42:46 52,224 ----a-w C:\WINDOWS\system32\eventcreate.exe
+ 2004-08-19 15:42:46 229,846 ----a-w C:\WINDOWS\system32\eventcreate.exe
- 2001-08-24 06:00:00 81,408 ----a-w C:\WINDOWS\system32\eventtriggers.exe
+ 2001-08-24 06:00:00 259,034 ----a-w C:\WINDOWS\system32\eventtriggers.exe
- 2000-08-31 13:00:00 73,728 ----a-w C:\WINDOWS\system32\fdsv.exe
+ 2000-08-31 13:00:00 251,356 ----a-w C:\WINDOWS\system32\fdsv.exe
- 2004-08-19 15:42:50 123,392 ----a-w C:\WINDOWS\system32\gpresult.exe
+ 2004-08-19 15:42:50 301,018 ----a-w C:\WINDOWS\system32\gpresult.exe
- 2000-08-31 13:00:00 80,412 ----a-w C:\WINDOWS\system32\grep.exe
+ 2000-08-31 13:00:00 258,522 ----a-w C:\WINDOWS\system32\grep.exe
- 2004-08-19 15:43:04 70,656 ----a-w C:\WINDOWS\system32\openfiles.exe
+ 2004-08-19 15:43:04 248,278 ----a-w C:\WINDOWS\system32\openfiles.exe
- 2004-08-19 15:43:08 128,000 ----a-w C:\WINDOWS\system32\schtasks.exe
+ 2004-08-19 15:43:08 305,626 ----a-w C:\WINDOWS\system32\schtasks.exe
- 2000-08-31 13:00:00 98,816 ----a-w C:\WINDOWS\system32\sed.exe
+ 2000-08-31 13:00:00 276,440 ----a-w C:\WINDOWS\system32\sed.exe
- 2000-08-31 13:00:00 136,704 ----a-w C:\WINDOWS\system32\swsc.exe
+ 2000-08-31 13:00:00 314,328 ----a-w C:\WINDOWS\system32\swsc.exe
- 2000-08-31 13:00:00 212,480 ----a-w C:\WINDOWS\system32\swxcacls.exe
+ 2000-08-31 13:00:00 390,106 ----a-w C:\WINDOWS\system32\swxcacls.exe
- 2001-08-24 06:00:00 70,144 ----a-w C:\WINDOWS\system32\systeminfo.exe
+ 2001-08-24 06:00:00 247,774 ----a-w C:\WINDOWS\system32\systeminfo.exe
- 2000-08-31 13:00:00 49,152 ----a-w C:\WINDOWS\system32\VFind.exe
+ 2000-08-31 13:00:00 226,782 ----a-w C:\WINDOWS\system32\VFind.exe
- 2001-08-24 06:00:00 8,192 ----a-w C:\WINDOWS\system32\winhlp32.exe
+ 2001-08-24 06:00:00 185,810 ----a-w C:\WINDOWS\system32\winhlp32.exe
- 2000-08-31 13:00:00 68,096 ----a-w C:\WINDOWS\system32\zip.exe
+ 2000-08-31 13:00:00 245,722 ----a-w C:\WINDOWS\system32\zip.exe
.
-- Snapshot reset to current date --
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{492B0575-792D-42FD-AA9E-5A9D05D48DEE}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 10:42 15360]
"msnmsgr"="C:\Archivos de programa\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5852120]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.546 2\GoogleToolbarNotifier.exe" [2008-03-11 21:30 349150]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 312794]
"UnlockerAssistant"="C:\Archivos de programa\Unlocker\UnlockerAssistant.exe" [2006-09-07 12:19 193504]
"VisualTask"="C:\Archivos de programa\VisualTask\VisualTaskTips.exe" [2006-07-31 06:33 214490]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-11-17 04:29 7700480]
"nwiz"="nwiz.exe" [2006-11-17 04:29 1799640 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-11-17 04:29 86016 C:\WINDOWS\system32\nvmctray.dll]
"SoundMan"="SOUNDMAN.EXE" [2006-06-20 13:42 755160 C:\WINDOWS\soundman.exe]
"TV Card Remote Control Device Monitor"="C:\WINDOWS\878RMTMon.exe" [2005-07-13 23:00 529888]
"RemoteControl"="C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe" [2005-12-07 22:57 207832]
"LanguageShortcut"="C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe" [2006-04-13 11:09 226780]
"Malwarebytes Anti-Malware Reboot"="C:\Archivos de programa\Malwarebytes' Anti-Malware\mbam.exe" [2008-03-09 17:29 610000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 10:42 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\RunOnce]
"nltide_3"="advpack.dll" [2007-11-11 17:02 124928 C:\WINDOWS\system32\advpack.dll]

C:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\
ScheduleTV.lnk - C:\Archivos de programa\honestech\honestech TVR\scheduleTV.exe [2008-03-11 21:07:31 484818]
Todo.CMD [2007-10-23 00:17:05 333]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system]
"DisableStatusMessages"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\explorer]
"NoDesktopCleanupWizard"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoResolveSearch"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoStartMenuNetworkPlaces"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoResolveSearch"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\opnlmmj]
opnlmmj.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\egui]
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"=

R0 ViBus;ViBus;C:\WINDOWS\system32\DRIVERS\ViBus.sys [2007-03-26 15:26]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX3 2.sys [2007-03-29 11:36]
R0 ViPrt;VIA SATA IDE Device Driver;C:\WINDOWS\system32\DRIVERS\ViPrt.sys [2007-03-26 15:26]
S2 878TVCard;Bt878 TV Card - Video Capture;C:\WINDOWS\system32\drivers\Bt878.sys [2005-07-19 23:00]
S2 878TVTuner;Bt878 TV Card - TV Tuner;C:\WINDOWS\system32\drivers\BtTuner.sys [2005-07-19 23:00]
S2 878Xbar;Bt878 TV Card - Crossbar;C:\WINDOWS\system32\drivers\BtXbar.sys [2005-07-19 23:00]
S3 MBAMCatchMe;MBAMCatchMe;C:\Archivos de programa\Malwarebytes' Anti-Malware\catchme.sys [2008-03-09 17:29]

.
************************************************** ************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-17 14:17:38
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
Tiempo completado: 2008-03-17 14:18:35
ComboFix-quarantined-files.txt 2008-03-17 19:18:13





Malwarebytes' Anti-Malware 1.08

Versión de la Base de Datos: 471

Tipo de examen : Examen Completo (C:\|D:\|)
Objetos examinados: 202882
Tiempo transcurrido: 2 hour(s), 14 minute(s), 23 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 1
Claves del Registro Infectadas: 5
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 1

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
c:\WINDOWS\Temp\sga47.tmp (BackDoor.ProRat) -> Unloaded module successfully.

Claves del Registro Infectadas:
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
c:\WINDOWS\Temp\sga47.tmp (BackDoor.ProRat) -> Delete on reboot.

Hola salomonm

Desinstalas el CF de la siguiente manera:

• Ir a Inicio > Ejecutar
• Escribir lo siguiente: ComboFix /u como muestra la imagen debajo:
  
  • 
• Esto activara el desinstalador de ComboFix abriendo su pantalla principal y luego de unos segundos veras ("ComboFix is uninstalled")

Pasa estas herramientas y por este orden:

VirtumundoBeGone

2 antivirus online, el Panda y el Ewido Online Scanner,por este orden y si hay algo que no te eliminen lo pones aquí con su ruta completa.