que tal buenas tardes.

el asunto que deseo tratar no es propiamente de mi ekipo, sino el de una amiga. el asunto es que me dijo que su compu tenia virus. compro una licencia del panda ella instalo un ad-aware que en lo personal me parece viejo, pero ella insistio en que es el que conoce. y al fin de cuentas si se eliminaron 2 virus y como 6 troyanos. la makina volvio a ser rapida dentro de lo que cabe y eso, pero ahora le aparece publicidad y no muy apta para menores, si solo minimizamos las 2 primeras ventanas se puede trabajar normal; pero si cerramos la asgunda de publicidad esta se duplica 2 veces cada ventana que se cierre, y si cerramos la primera bloquea todas las funciones de internet. (iexplorer, outlook, msn, etc...) pero la red local funciona bien. ya revisamos las 2 laptops de la red y tampoco tiene virus ni malaware y dicho sea de paso no sufren lo mismo que el equipo de mi amiga

Ella insiste en que no visita las paginas porno asi ke dandole el beneficio de la duda solicito su ayuda para liberar esta compu ya que los escaneos salen 0 virus y los clasicos mrulist y traking cookies del ad-aware.

NOTA: ella esta en una ciudad que me queda a 1:30min en carro y por eso usamos el logmein para contactarnos. si ocupan algo mas o mas actualizado puede que me tarde un poco en presentarlo.

el antivirus que tiene es el panda antivirus 2007 u 2008 no recuerdo pero es reciente. y el ad-aware personal se.
aki les dejo el log.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:05:50 p.m., on 08/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\TPSrv.exe
C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\pavsrv51.exe
C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\AVENGINE.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PsCtrls.exe
C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PavFnSvr.exe
C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\APVXDWIN.EXE
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\JavaCore\JavaCore.exe
c:\archivos de programa\panda security\panda antivirus + firewall 2008\firewall\PSHOST.EXE
C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PsImSvc.exe
C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\WebProxy.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\ARCHIV~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\LogMeIn\x86\LogMeIn.exe
C:\Archivos de programa\LogMeIn\x86\RaMaint.exe
C:\Archivos de programa\LogMeIn\x86\LogMeInSystray.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\LogMeIn\x86\LogMeIn.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [98fd9889] rundll32.exe "C:\WINDOWS\system32\roggiprx.dll",b
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Archivos de programa\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [BM9bceab15] Rundll32.exe "C:\WINDOWS\system32\vruxqnpj.dll",s
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ChristmasTree] C:\DOCUME~1\Enlaces\CONFIG~1\Temp\Rar$EX01.594\Chr istmas.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Enlaces\CONFIG~1\Temp\winlogon.exe
O4 - HKCU\..\Run: [xInsIDE] C:\Archivos de programa\xInsIDE\xInsIDE.exe
O4 - HKCU\..\Run: [JavaCore] C:\Archivos de programa\JavaCore\JavaCore.exe
O4 - HKCU\..\Run: [NoDNS] C:\Archivos de programa\\NoDNS\\NoDNS.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-21-2052111302-823518204-682003330-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrador')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - http://www.nanoscan.com/as/cabs/ascstubie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1197928490687
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\phqlhruy.exe (file missing)
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Archivos de programa\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Archivos de programa\LogMeIn\x86\LogMeIn.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\pavsrv51.exe
O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\archivos de programa\panda security\panda antivirus + firewall 2008\firewall\PSHOST.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\TPSrv.exe

--
End of file - 7412 bytes

Hola Sansho=uo,

Paso 1- Descarga, Instala y/o actualiza estas herramientas: (pero no los ejecutes aun)

• ComboFix.exe
• Malwarebytes' Anti-Malware

Paso 2- Con todos los programas cerrados, ejecuta HijackThis y dale a las siguientes entradas:


O4 - HKLM\..\Run: [BM9bceab15] Rundll32.exe "C:\WINDOWS\system32\vruxqnpj.dll",s

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Enlaces\CONFIG~1\Temp\winlogon.exe


O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\phqlhruy.exe (file missing)





Paso 3- Ejecuta estas herramientas, de a una:

• Malwarebytes' Anti-Malware
  *Nota* Es importante que envíes a "Cuarentena" todo lo que este detecte antes de copiar y pegarnos su reporte.

• Antes de usar ComboFix....
• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

Paso 4- Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Reinicia y nos contas los resultados. junto con el reporte de

Paso 5- Reinicia en modo normal y nos dejas los reportes de:

• Malwarebytes' Anti-Malware
• C:\ComboFix.txt en este mismo mensaje.

**Nota**
- Para mayor comodidad imprime los pasos.
- Recuerda regresar y contarnos los resultados.

Salu2

una disculpa si ya habian cerrado este tema. pero bueno es solo para aclarar qeu basto solo con desinstalar el ad-aware se personal e instalar el malwarebyte. para dejar la pc como nueva.

de antemano muchas gracias por su ayuda y mas que nada a ElPiedra por sus sabios consejos.

como dato extra en mi compu del trabajo cada vez que inicio el nod avisa de un troyano llamado wpx2.cpx el cual no pide nada mas que hacerle, ni desinfectar ni eliminar ni enviar a cuarentena. y en internet cuando lo busque me aparece como busqueda numero uno, una pagina de super anti-spyware, que se promociona diciendo que el si puede vacunar dicho trojano.

eso es publicidad de el mismo antiespia? esto lo agrego porque en mi compu no sucede nada malo o extraño exeptuando ese aviso cada inicio de sesion.

Hola, tendrías que dejarnos algún reporte de la otra compu que comentes que el Nod32 te detecta una infección para verlo mas a fondo.

Salu2