Buenos Dias/Tardes/Noches.

Muchas gracias de antemano por leer este post.

Ocurrio un problema en una empresa a la que le doy servicio todas las computadoras fueron infectadas por un virus que no les deja entrar a internet.

Ya he intentado descontaminar (en el caso especifico dela computadora de el dueño de la empresa) con el Kaspersky Internet Security 7.0, Spybot 1.5 y el SuperAntispyware. Pero ninguno me saca de el apuro si alguien me pudiera orientar se lo agradeceria muchisimo.

La maquina tiene instalado windows XP con SP2.

Cosa rara pove entrar en "Modo Seguro" y puedo navegar muy bien en el internet. no tengo ni idea de lo que es. en fin espero respuesta. Grecias.

Arcanine

Que tal Arcanine,

A.-Descarga y actualiza Super antispyware <Leer_manual>

B.-Descarga y actualiza Malwarebytes' Anti-Malware<Leer_manual>

1.-Desactiva restaurar sistema
2.-Entra en modo seguro

• Ejecuta super antispyware

• Ejecuta Malwarebytes' Anti-Malware de la siguiente manera:
  • Realiza un examen completo
  • Elimina lo que consiga con la opcion de quitar todo lo seleccionado,
  • Reinicia el sistema (este paso es importante para eliminar lo que consiga)
  • Abre el programa y ubica el reporte en la pestaña "Registros" ("Logs" en ingles) abrelo y pegalo aqui

3.-Estando en modo normal ejecuta el ccleaner <Leer_manual>en su modo de limpiador y luego en la opcion de registro (realizando su respectiva copia de seguridad)

C-pasa el Ewido online <Leer_manual>y recuerda marcar Remove Infections si no elimina todo, guarda el reporte y peagalo aqui

D.-pasa elKaspersky online <Leer_manual> si usas firefox instala IE Tab., pega el log que te genere el kaspersky aqui

Regresa con los reportes e indicame como esta el paciente para recomendarte las acciones a tomar

Gracias por la ayuda.

Aqui dejo los reportes que me generarón los escaneos.

A y una cosa que a la que le pongo enfasis (talvez esto pueda dar un indiciop, o tal vez no) es que los escaneos con los antivirus online los tube que realisar desde "Modo Seguro" porque en "Modo Normal" no me da acceso a internet desde ningun navegador.

------------------------------------------->>>
Malwarebytes' Anti-Malware 1.12
Versión de la Base de Datos: 749

Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 131536
Tiempo transcurrido: 20 minute(s), 49 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)


------------------------------------------->>>

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Netflame
Path: C:\Documents and Settings\User\Cookies\user@ssl-hints.netflame[2].txt
Risk: Medium

Name: Downloader.Iwill.m
Path: C:\Documents and Settings\User\Mis documentos\DISCO C ANTERIOR\resp21-04-04\Documents and Settings\Hermilo\Configuración local\Archivos temporales de Internet\Content.IE5\A3ARUH2V\jerarquia[2].html
Risk: High

Name: Downloader.Iwill.m
Path: C:\Documents and Settings\User\Mis documentos\DISCO C ANTERIOR\resp21-04-04\Documents and Settings\Hermilo\Configuración local\Archivos temporales de Internet\Content.IE5\A3ARUH2V\rituales[2].html
Risk: High

Name: Downloader.Iwill.m
Path: C:\Documents and Settings\User\Mis documentos\DISCO C ANTERIOR\resp21-04-04\Documents and Settings\Hermilo\Configuración local\Archivos temporales de Internet\Content.IE5\MX872XI1\angeles[1].html
Risk: High

Name: Downloader.Iwill.m
Path: C:\Documents and Settings\User\Mis documentos\DISCO C ANTERIOR\resp21-04-04\Documents and Settings\Hermilo\Configuración local\Archivos temporales de Internet\Content.IE5\MX872XI1\id2_m[1].htm
Risk: High

Name: Downloader.Iwill.m
Path: C:\Documents and Settings\User\Mis documentos\DISCO C ANTERIOR\resp21-04-04\Documents and Settings\Hermilo\Configuración local\Archivos temporales de Internet\Content.IE5\MX872XI1\id2_t[1].htm
Risk: High

Name: Downloader.Iwill.m
Path: C:\Documents and Settings\User\Mis documentos\DISCO C ANTERIOR\resp21-04-04\Documents and Settings\Hermilo\Configuración local\Archivos temporales de Internet\Content.IE5\MX872XI1\index[1].html
Risk: High

Name: Downloader.Iwill.m
Path: C:\Documents and Settings\User\Mis documentos\DISCO C ANTERIOR\resp21-04-04\Documents and Settings\Hermilo\Configuración local\Archivos temporales de Internet\Content.IE5\MX872XI1\index_m[1].htm
Risk: High

Name: Downloader.Iwill.m
Path: C:\Documents and Settings\User\Mis documentos\DISCO C ANTERIOR\resp21-04-04\Documents and Settings\Hermilo\Configuración local\Archivos temporales de Internet\Content.IE5\MX872XI1\index_t[1].htm
Risk: High

Name: Downloader.Iwill.m
Path: C:\Documents and Settings\User\Mis documentos\DISCO C ANTERIOR\resp21-04-04\Documents and Settings\Hermilo\Configuración local\Archivos temporales de Internet\Content.IE5\QB6NU1EN\id2[1].htm
Risk: High

Name: Downloader.Iwill.m
Path: C:\Documents and Settings\User\Mis documentos\DISCO C ANTERIOR\resp21-04-04\Documents and Settings\Hermilo\Configuración local\Archivos temporales de Internet\Content.IE5\QB6NU1EN\id2_l[1].htm
Risk: High

Name: Downloader.Iwill.m
Path: C:\Documents and Settings\User\Mis documentos\DISCO C ANTERIOR\resp21-04-04\Documents and Settings\Hermilo\Configuración local\Archivos temporales de Internet\Content.IE5\QB6NU1EN\index[1].htm
Risk: High

Name: Downloader.Iwill.m
Path: C:\Documents and Settings\User\Mis documentos\DISCO C ANTERIOR\resp21-04-04\Documents and Settings\Hermilo\Configuración local\Archivos temporales de Internet\Content.IE5\QB6NU1EN\index_l[1].htm
Risk: High


------------------------------------------->>>

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
miércoles, 14 de mayo de 2008 17:07:54
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 14/05/2008
Registros en la base antivirus: 773829
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: estendidas
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
A:\
C:\
D:\

Estadísticas:
Número de objeros analizados: 98862
Virus encontrados: 1
Objetos infectados: 2 / 0
Objetos sospechosos: 0
Duración del análisis: 00:40:26

Bombre del objeto infectado / Nombre del virus / Última acción
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\User\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\User\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\User\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\User\Configuración local\Datos de programa\Microsoft\Windows Live Mail\pop.prodigy 98\Inbox\11F47456-00000431.eml/[From Mydet <mydet@ms24.hinet.net>][Date Sat, 24 Dec 2005 08:39:39 +0800]/Margret.zip Infectados: Trojan-Downloader.Win32.Bagle.p saltado
C:\Documents and Settings\User\Configuración local\Datos de programa\Microsoft\Windows Live Mail\pop.prodigy 98\Inbox\11F47456-00000431.eml Mail: infectado - 1 saltado
C:\Documents and Settings\User\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\ruytixw6.default \Cache\_CACHE_001_ Object is locked saltado
C:\Documents and Settings\User\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\ruytixw6.default \Cache\_CACHE_002_ Object is locked saltado
C:\Documents and Settings\User\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\ruytixw6.default \Cache\_CACHE_003_ Object is locked saltado
C:\Documents and Settings\User\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\ruytixw6.default \Cache\_CACHE_MAP_ Object is locked saltado
C:\Documents and Settings\User\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\ruytixw6.default \urlclassifier3.sqlite Object is locked saltado
C:\Documents and Settings\User\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\User\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\User\Datos de programa\Mozilla\Firefox\Profiles\ruytixw6.default \cert8.db Object is locked saltado
C:\Documents and Settings\User\Datos de programa\Mozilla\Firefox\Profiles\ruytixw6.default \content-prefs.sqlite Object is locked saltado
C:\Documents and Settings\User\Datos de programa\Mozilla\Firefox\Profiles\ruytixw6.default \cookies.sqlite Object is locked saltado
C:\Documents and Settings\User\Datos de programa\Mozilla\Firefox\Profiles\ruytixw6.default \downloads.sqlite Object is locked saltado
C:\Documents and Settings\User\Datos de programa\Mozilla\Firefox\Profiles\ruytixw6.default \formhistory.sqlite Object is locked saltado
C:\Documents and Settings\User\Datos de programa\Mozilla\Firefox\Profiles\ruytixw6.default \key3.db Object is locked saltado
C:\Documents and Settings\User\Datos de programa\Mozilla\Firefox\Profiles\ruytixw6.default \parent.lock Object is locked saltado
C:\Documents and Settings\User\Datos de programa\Mozilla\Firefox\Profiles\ruytixw6.default \permissions.sqlite Object is locked saltado
C:\Documents and Settings\User\Datos de programa\Mozilla\Firefox\Profiles\ruytixw6.default \places.sqlite Object is locked saltado
C:\Documents and Settings\User\Datos de programa\Mozilla\Firefox\Profiles\ruytixw6.default \places.sqlite-journal Object is locked saltado
C:\Documents and Settings\User\Datos de programa\Mozilla\Firefox\Profiles\ruytixw6.default \search.sqlite Object is locked saltado
C:\Documents and Settings\User\ntuser.dat Object is locked saltado
C:\Documents and Settings\User\ntuser.dat.LOG Object is locked saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\WINDOWS\CSC\00000001 Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

Análisis completado.


------------------------------------------->>> Fin de los Reportes

Espero los isguientes pasos para dejar esta cosa funcionando.

Y muchas gracias de nuevo.

Arcanine

Que tal Arcanine,

Los reportes no muetran que tengas mucha infeccion, asi que el problema principal seria reestablecer el internet, por cierto quita el ordenador de la red mientras se elimina todo rastro de infeccion.

Desacarga OTMoveit2 + MANUAL

Ejecuta la Herramienta OTMoveIt:

• Haz doble clic sobre OTMoveIt.exe para ejecutarlo.
• Asegurate que esté marcado "Unregister Dll's and Ocx's".
• Copia el texto que te dejo en el recuadrado de abajo, y
  pega el texto en el marco izquierdo de OTMoveIt2 llamado "Paste Standard List of Files / Folders to be Moved"

• Pulsa sobre MoveIt!para lanzar la supresión.
• Cuando el resultado aparezca en el marco Results, pulsa en Exit
• Ahora Reinicia (muy importante para eliminar todo)
• Se creará un reporte en C: \ _ OTMoveIt\MovedFiles lo
  buscas y lo pegas aki

A.-Descarga e instala SDFix@AndyMachesta+Manuall

1.-Desactiva restaurar sistema
2.-Entra en modo seguro

• Ejecuta SDFix@AndyMachesta como indica su manual:

B.-Luego Descarga y ejecuta esta herramienta de Microsoft Windows-KB890830-V1.40 descargala deacuedo al idioma de tu sistema

Por Ultimo descarga winsock para reparar tu conexion a internet

MuChas garcias la computadora parece que ya goza de buena salud (ahora haber cuanto le dura el gusto), todo quedo solucionado tras hacer los pasos, raro porque oy tengo una vercion mas viejita de el WinSock y la corri pero no me corrigio el problema, a de ver estado en medio algun virus hijo de su madre que lo aprio.

Bueno de todos modos pego el reporte de el SDFfix,que el otro lo corri desde un CD y eol reporte sabra dios donde se lo fue a meter.

------------------------------------------------->>>>Inicio del reporte
SDFix: Version 1.182
Run by User on 15/05/2008 at 05:05 p.m.

Microsoft Windows XP [Versi¢n 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1359.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-15 17:13:57
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqtra08.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqtra08.exe:*:Enabled:hpqtra08.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpofxm08.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposfx08.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqCopy.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpfccopy.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe:*:Enabled:hpqphunl.e xe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqDIA.exe:*:Enabled:hpqdia.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpoews01.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqnrs08.exe:*:Enabled:hpqnrs08.exe"
"C:\\Documents and Settings\\User\\Datos de programa\\U3\\000016244370F314\\0DE4F643-C398-46ec-9339-2362F2311932\\Exec\\Skype.exe"="C:\\Documents and Settings\\User\\Datos de programa\\U3\\000016244370F314\\0DE4F643-C398-46ec-9339-2362F2311932\\Exec\\Skype.exe:*:Enabled:Skype"
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\domainpr ofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Archivos de programa\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe"
Wed 22 Dec 2004 76,568 ..SHR --- "C:\Archivos de programa\Autodesk\Autodesk DWF Viewer\Setup.exe"
Thu 13 Jan 2005 11,360 A.SHR --- "C:\Archivos de programa\Autodesk\Autodesk DWF Viewer\_Setupx.dll"
Thu 3 Jan 2008 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Wed 11 Apr 2007 28,672 A..H. --- "C:\Respaldo\Mis Documentos\MydetRes\~WRL0003.tmp"
Wed 11 Apr 2007 29,696 A..H. --- "C:\Respaldo\Mis Documentos\MydetRes\~WRL0375.tmp"
Sun 21 Jul 2002 418,816 ...HR --- "C:\WINDOWS\system32\Tools\All.exe"
Thu 18 Jul 2002 390,144 ...HR --- "C:\WINDOWS\system32\Tools\Change.exe"
Thu 18 Jul 2002 574,464 ...HR --- "C:\WINDOWS\system32\Tools\CheckPath.exe"
Mon 19 Aug 2002 430,592 ...HR --- "C:\WINDOWS\system32\Tools\Counter.exe"
Mon 22 Jul 2002 390,656 ...HR --- "C:\WINDOWS\system32\Tools\DelFolders.exe"
Thu 21 Nov 2002 399,872 ...HR --- "C:\WINDOWS\system32\Tools\DirectSetup.exe"
Thu 18 Jul 2002 388,096 ...HR --- "C:\WINDOWS\system32\Tools\RegClean.exe"
Thu 18 Jul 2002 388,608 ...HR --- "C:\WINDOWS\system32\Tools\Regexe.exe"
Sun 1 Dec 2002 431,616 ...HR --- "C:\WINDOWS\system32\Tools\Restart.exe"
Thu 18 Jul 2002 388,096 ...HR --- "C:\WINDOWS\system32\Tools\RunRegexe.exe"
Tue 13 Nov 2007 210,432 ...H. --- "C:\Documents and Settings\User\Mis documentos\ADMON\~WRL3385.tmp"
Fri 8 Dec 2006 124,928 ...H. --- "C:\Documents and Settings\User\Mis documentos\ADMON\~WRL4023.tmp"
Thu 7 Jun 2007 60,416 A..H. --- "C:\Respaldo\Mis Documentos\MydetRes\Plantatratagresiduales\~WRL401 9.tmp"
Thu 7 Dec 2006 3,096,576 A..H. --- "C:\Documents and Settings\User\Datos de programa\U3\temp\Launchpad Removal.exe"
Tue 30 Aug 2005 145,408 A..H. --- "C:\Documents and Settings\User\Mis documentos\MisdocumentosANTERIOR\COTIZACIONES TQES BARRILES\~WRL1464.tmp"
Sun 20 Apr 1997 14,720 A..H. --- "C:\Documents and Settings\User\Mis documentos\MisdocumentosANTERIOR\curso de ingles\JE01 (D)\EGGDLL16.DLL"
Thu 11 Dec 1997 6,656 A..H. --- "C:\Documents and Settings\User\Mis documentos\MisdocumentosANTERIOR\curso de ingles\JE01 (D)\RASTER.DLL"
Sun 20 Apr 1997 14,720 A..H. --- "C:\Documents and Settings\User\Mis documentos\MisdocumentosANTERIOR\curso de ingles\JE02 (D)\EGGDLL16.DLL"
Thu 11 Dec 1997 6,656 A..H. --- "C:\Documents and Settings\User\Mis documentos\MisdocumentosANTERIOR\curso de ingles\JE02 (D)\RASTER.DLL"
Sun 20 Apr 1997 14,720 A..H. --- "C:\Documents and Settings\User\Mis documentos\MisdocumentosANTERIOR\curso de ingles\JE03 (D)\EGGDLL16.DLL"
Thu 11 Dec 1997 6,656 A..H. --- "C:\Documents and Settings\User\Mis documentos\MisdocumentosANTERIOR\curso de ingles\JE03 (D)\RASTER.DLL"
Sun 20 Apr 1997 14,720 A..H. --- "C:\Documents and Settings\User\Mis documentos\MisdocumentosANTERIOR\curso de ingles\JE04 (D)\EGGDLL16.DLL"
Thu 11 Dec 1997 6,656 A..H. --- "C:\Documents and Settings\User\Mis documentos\MisdocumentosANTERIOR\curso de ingles\JE04 (D)\RASTER.DLL"
Fri 24 Feb 2006 31,744 A..H. --- "C:\Documents and Settings\User\Mis documentos\MisdocumentosANTERIOR\PROTEXA\TANQUE 0.415 M3\~WRL0003.tmp"
Thu 12 Nov 1998 47,104 A..H. --- "C:\Documents and Settings\User\Mis documentos\MisdocumentosANTERIOR\curso de ingles\JE02 (D)\Xtras\_ISREG32.DLL"
Thu 12 Nov 1998 47,104 A..H. --- "C:\Documents and Settings\User\Mis documentos\MisdocumentosANTERIOR\curso de ingles\JE03 (D)\Xtras\_ISREG32.DLL"
Thu 12 Nov 1998 47,104 A..H. --- "C:\Documents and Settings\User\Mis documentos\MisdocumentosANTERIOR\curso de ingles\JE04 (D)\Xtras\_ISREG32.DLL"
Thu 4 Mar 1999 3,449 A..H. --- "C:\Respaldo\Escritorio\delfino respaldo\Delfino\RESPALDO\Respaldo Regino\Mis documentos\~WRL0028.tmp"
Mon 15 Mar 1999 83,482 A..H. --- "C:\Respaldo\Escritorio\delfino respaldo\Delfino\RESPALDO\Respaldo Regino\Mis documentos\~WRL1240.tmp"
Wed 14 Apr 1999 26,632 A..H. --- "C:\Respaldo\Escritorio\delfino respaldo\Delfino\RESPALDO\Respaldo Regino\Mis documentos\~WRL1531.tmp"
Mon 13 Dec 1999 19,456 A..H. --- "C:\Respaldo\Escritorio\delfino respaldo\Delfino\RESPALDO\Respaldo Regino\Mis documentos\~WRL3143.tmp"
Wed 14 Apr 1999 24,444 A..H. --- "C:\Respaldo\Escritorio\delfino respaldo\Delfino\RESPALDO\Respaldo Regino\Mis documentos\~WRL3278.tmp"
Thu 4 Mar 1999 3,449 A..H. --- "C:\Respaldo\Mis Documentos\WINDOS\RESP.DBL\RESPALDO\Respaldo Regino\Mis documentos\~WRL0028.tmp"
Mon 15 Mar 1999 83,482 A..H. --- "C:\Respaldo\Mis Documentos\WINDOS\RESP.DBL\RESPALDO\Respaldo Regino\Mis documentos\~WRL1240.tmp"
Wed 14 Apr 1999 26,632 A..H. --- "C:\Respaldo\Mis Documentos\WINDOS\RESP.DBL\RESPALDO\Respaldo Regino\Mis documentos\~WRL1531.tmp"
Mon 13 Dec 1999 19,456 A..H. --- "C:\Respaldo\Mis Documentos\WINDOS\RESP.DBL\RESPALDO\Respaldo Regino\Mis documentos\~WRL3143.tmp"
Wed 14 Apr 1999 24,444 A..H. --- "C:\Respaldo\Mis Documentos\WINDOS\RESP.DBL\RESPALDO\Respaldo Regino\Mis documentos\~WRL3278.tmp"
Fri 28 Jan 2005 73,216 A..H. --- "C:\Documents and Settings\User\Mis documentos\MisdocumentosANTERIOR\INFO TECNICA TITANIO\Nueva carpeta\Manual Celdas Electrol�ticas\Manual de Celdas\General Safety Precautions\~WRL3469.tmp"
Sun 20 Apr 1997 14,720 A..H. --- "C:\Respaldo\Mis Documentos\WINDOS\RESP.DBL\Delfino\ROQUE\WIN98ZIP\ archivos varios\JE01 (D)\EGGDLL16.DLL"
Thu 11 Dec 1997 6,656 A..H. --- "C:\Respaldo\Mis Documentos\WINDOS\RESP.DBL\Delfino\ROQUE\WIN98ZIP\ archivos varios\JE01 (D)\RASTER.DLL"
Sun 20 Apr 1997 14,720 A..H. --- "C:\Respaldo\Mis Documentos\WINDOS\RESP.DBL\Delfino\ROQUE\WIN98ZIP\ archivos varios\JE02 (D)\EGGDLL16.DLL"
Thu 11 Dec 1997 6,656 A..H. --- "C:\Respaldo\Mis Documentos\WINDOS\RESP.DBL\Delfino\ROQUE\WIN98ZIP\ archivos varios\JE02 (D)\RASTER.DLL"
Sun 20 Apr 1997 14,720 A..H. --- "C:\Respaldo\Mis Documentos\WINDOS\RESP.DBL\Delfino\ROQUE\WIN98ZIP\ archivos varios\JE03 (D)\EGGDLL16.DLL"
Thu 11 Dec 1997 6,656 A..H. --- "C:\Respaldo\Mis Documentos\WINDOS\RESP.DBL\Delfino\ROQUE\WIN98ZIP\ archivos varios\JE03 (D)\RASTER.DLL"
Sun 20 Apr 1997 14,720 A..H. --- "C:\Respaldo\Mis Documentos\WINDOS\RESP.DBL\Delfino\ROQUE\WIN98ZIP\ archivos varios\JE04 (D)\EGGDLL16.DLL"
Thu 11 Dec 1997 6,656 A..H. --- "C:\Respaldo\Mis Documentos\WINDOS\RESP.DBL\Delfino\ROQUE\WIN98ZIP\ archivos varios\JE04 (D)\RASTER.DLL"

Finished!

------------------------------------------------->>>>Fin del Reporte

Muchas gracias nuevamente, yo con esto he solucionado el problema que me decia la persona que es usuario de la PC, pero si encuentars alguna cosa seria mejor limpiarla.

Arcanine

Hola,

sube este archivo: C:\WINDOWS\system32\Tools\All.exe

a virus total y me dejas el reporte que genere

y si no tienes instalado F-Secure elimina este C:\WINDOWS\system32\Tools\Restart.exe

Una disculpa por no haber contestado rapido, pero el cliente ha quedado satisfecho con la limpieza que ya se ha llevado acavo. Muchas gracias de nuevo.

Tratare de subir el informe de el archivo, pero dudo mucho poder más que nada porque, la computadora ya a quedado a satisfacción suya.

De nuevo muchisimas gracias. En especial a ti Anleg_30.

Hola Arcanine,

Perfecto me parece bien, si es asi damos el tema por

S::O::L::U::C:::I::O::N::A::D::O::::::::::::::>