Hola, se me ha metido un virus en el sector de boteo del disco rigido , descargue un juego a travez de un programa p2p y lo instale y al rato de ejecutarlo se me reinicio la pc sola y al reiniciar el trident antivirus me avisa que hay un virus en el mbr y me pide que introduzca un diskeete antivirus para limpiar. que puedo hacer para quitarlo?
Desde ya muchas gracias
saludos

Hola superloki,

• Descarga SDFix.exe, guardalo en el escritorio.
  • Reinicia en modo seguro.
• Abra la carpeta donde extrajo SDFix doble clic "RunThis.bat" para iniciar la secuencia de comandos.
• Presiona la Letra "Y" para continuar.
• Espera a que termine el proceso de Limpieza.
• Presiona Una tecla para que sea reinciado el Sistema.
• Para que el PC se reinicie ,para completar el proceso , pulse cualquier tecla
• Al Termina Se abrira una Block de Notas con el Nombre de Report.txt
• Copiar y pegar el contenido de ese reporte aqui mismo.

Salu2!

Si, para guardar el sdfix.exe entro primero al modo prueba de fallos y lo descargo por internet desde ahi o omito la advertencia del antivirus e inicio el sistema normalmente (esto no podria hacer que el virus se ejecute?).
Tambien me dijieron que boteando con un diskete de windows 98 y tecleando
fdisk/mbr se borra esa parte del disco eliminando el virus .. esto seria recomendable . no se pierde info?
saludos marcos

Hola SuperLoki,

El SDFix, lo bajas en modo normal, luego reinicias eh inicias tu PC en modo seguro y lo ejecutas según las indicaciones ya escritas.

El comando que mencionas, es bloqueado por el Rootkit MBR, para que no pueda eliminar la infección.

Salu2!

hola , ya pase el sdfix y realice todos los paso indicados perfectamente.. aca esta el informe... como sigo?
Saludos
y desde ya muchas gracias


SDFix: Version 1.197
Run by Administrador on 26/06/2008 at 09:07 p.m.

Microsoft Windows XP [Versi¢n 5.1.2600]
Running From: C:\SDFix

Checking Services :

Name :
{DEF85C80-216A-43ab-AF70-1665EDBE2780}

Path :
\??\C:\WINDOWS\TEMP\D2.tmp

{DEF85C80-216A-43ab-AF70-1665EDBE2780} - Deleted



Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\SYSTEM32\7QE2JA.SYZ - Deleted
C:\WINDOWS\SYSTEM32\UTLLQJ.SYZ - Deleted
C:\WINDOWS\UBOFITAZ.EXE - Deleted
C:\windows\system32\cssrss.exe - Deleted

Note - Files associated with the MBR Rootkit have been found on this system, to check the PC use the MBR Rootkit Detector by Gmer or CureIt by Dr.Web




Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-26 21:22:52
Windows 5.1.2600 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 17 Dec 2001 40,960 A..H. --- "C:\Mis documentos\~WRL1251.tmp"
Wed 1 Jan 2003 4,348 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv1.bak"
Sun 6 Apr 2003 3,068 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv19.bak"
Sat 8 Mar 2003 3,068 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv18.bak"
Sat 8 Mar 2003 4,592 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv10.bak"
Sat 8 Mar 2003 3,830 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv13.bak"
Wed 29 Oct 2003 4,592 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv15.bak"
Wed 2 Apr 2003 1,925 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv12.bak"
Wed 2 Apr 2003 2,306 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv17.bak"
Sun 6 Apr 2003 3,449 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv14.bak"
Sat 8 Mar 2003 1,544 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv16.bak"
Sat 8 Mar 2003 2,687 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv11.bak"
Thu 8 Apr 2004 48 ..SH. --- "C:\WINDOWS\All Users\DRM\v2ks.sec.bak"
Thu 8 Apr 2004 400 ..SH. --- "C:\WINDOWS\All Users\DRM\v2ks.bla.bak"
Thu 6 Nov 1997 4,608 ...H. --- "C:\Corel\Graphics8\Programs\Mos3280.dll"
Wed 5 Nov 1997 77,312 ...H. --- "C:\Corel\Graphics8\Programs\Mos1680.dll"
Thu 18 Dec 1997 426,496 ...H. --- "C:\Corel\Graphics8\Programs\convintl.dll"
Tue 6 Jan 1998 5,961,728 ...H. --- "C:\Corel\Graphics8\Programs\CNSFlt80.dll"
Mon 17 Dec 2001 40,960 A..H. --- "C:\Documents and Settings\damian javier ponce\Mis documentos\~WRL1251.tmp"
Mon 17 Dec 2001 40,960 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL1251.tmp"
Thu 8 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL3754.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL0969.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL1851.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL3936.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL0309.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL1748.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL3072.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL0662.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL2254.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL0987.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL0144.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL3972.tmp"
Sat 10 Aug 2002 1,763,840 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL1166.tmp"
Sat 10 Aug 2002 1,763,840 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL1245.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL3975.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL2794.tmp"
Thu 9 Sep 2004 4,348 ..SH. --- "C:\Documents and Settings\All Users.I386\DRM\DRMv1.bak"
Wed 18 May 2005 30,881 A..H. --- "C:\Mis documentos\Mi m£sica\Copia de seguridad de la licencia\drmv1lic.bak"
Wed 1 Jan 2003 4,348 ...H. --- "C:\Mis documentos\Mi m£sica\Copia de seguridad de la licencia\drmv1key.bak"
Fri 4 Mar 2005 488 A.SH. --- "C:\Mis documentos\Mi m£sica\Copia de seguridad de la licencia\drmv2key.bak"
Thu 29 Nov 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\6e9e61cf f8be4241051507e627852af1\BIT9A.tmp"
Thu 15 May 2003 43,008 ...H. --- "C:\Archivos de programa\Archivos comunes\Adobe\ESD\DLMCleanup.exe"
Sun 28 Oct 2007 20,207,632 A..H. --- "C:\Documents and Settings\kaiser\Configuraci¢n local\Temp\BIT104.tmp"
Sun 28 Oct 2007 20,207,632 A..H. --- "C:\Documents and Settings\kaiser\Configuraci¢n local\Temp\BIT9B.tmp"
Sun 28 Oct 2007 20,207,632 A..H. --- "C:\Documents and Settings\kaiser\Configuraci¢n local\Temp\BITA9.tmp"
Thu 26 Jun 2008 20,207,632 A..H. --- "C:\Documents and Settings\kaiser\Configuraci¢n local\Temp\BITC9.tmp"

Finished!

Hola superloki,

En definitiva el SDFix, nos mostro la infeccion por MBR Rootkit.

-Descarga la herramienta MbrFix.exe y guardala en el directorio raiz C:\

• Quedando de la siguiente manera: C:\MbrFix.exe

-Reinicia en Modo Seguro (a prueba de fallos)

-Ve a Inicio > Todos los programas > Accesorios > Simbolo del sistema

• Una vez en la ventana MS-DOS escribes el siguiente comando:

C:/mbrfix /drive 0 listpartitions

Te devolvera el listado de las particiones de esta forma:

A continuaciòn escribes: C:/mbrfix /drive 0 fixmbr <-- esto para reparar el MBR de la particiòn 1.

Te devolvera lo siguiente:
Escoges Y para reparar y N para salir de la aplicaciòn.

Si tienes mas de una particion entonces debes ejecutar

C:/mbrfix /drive 0 fixmbr
C:/mbrfix /drive 1 fixmbr
.
.
.
Dependiendo del listado que te devolvio el comando C:/mbrfix /drive 0 listpartitions

-Vuelve a Ejecutar el SDfix y pegas aca su resultado.


Salu2!
Me cuentas !

hola angel doze bueno realice los puntos como me los mencionastes al terminar de usar el mbrfix me pregunto los que mencionas "C:\Documents and Settings\AngelDoze>C:/mbrfix /drive 0 fixmbr
You are about to Fix MBR,
are you sure (Y/N)?"
le di en "y" y aparecio otra vez c:/ luego de reparar y sali cerrando la ventana . despues pase el sdfix y aca esta el informe .. como sigo? saludos


SDFix: Version 1.197
Run by Administrador on 26/06/2008 at 11:29 p.m.

Microsoft Windows XP [Versi¢n 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found


Note - Files associated with the MBR Rootkit have been found on this system, to check the PC use the MBR Rootkit Detector by Gmer or CureIt by Dr.Web




Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-26 23:42:48
Windows 5.1.2600 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

Remaining Files :



Files with Hidden Attributes :

Mon 17 Dec 2001 40,960 A..H. --- "C:\Mis documentos\~WRL1251.tmp"
Wed 1 Jan 2003 4,348 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv1.bak"
Sun 6 Apr 2003 3,068 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv19.bak"
Sat 8 Mar 2003 3,068 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv18.bak"
Sat 8 Mar 2003 4,592 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv10.bak"
Sat 8 Mar 2003 3,830 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv13.bak"
Wed 29 Oct 2003 4,592 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv15.bak"
Wed 2 Apr 2003 1,925 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv12.bak"
Wed 2 Apr 2003 2,306 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv17.bak"
Sun 6 Apr 2003 3,449 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv14.bak"
Sat 8 Mar 2003 1,544 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv16.bak"
Sat 8 Mar 2003 2,687 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv11.bak"
Thu 8 Apr 2004 48 ..SH. --- "C:\WINDOWS\All Users\DRM\v2ks.sec.bak"
Thu 8 Apr 2004 400 ..SH. --- "C:\WINDOWS\All Users\DRM\v2ks.bla.bak"
Thu 6 Nov 1997 4,608 ...H. --- "C:\Corel\Graphics8\Programs\Mos3280.dll"
Wed 5 Nov 1997 77,312 ...H. --- "C:\Corel\Graphics8\Programs\Mos1680.dll"
Thu 18 Dec 1997 426,496 ...H. --- "C:\Corel\Graphics8\Programs\convintl.dll"
Tue 6 Jan 1998 5,961,728 ...H. --- "C:\Corel\Graphics8\Programs\CNSFlt80.dll"
Mon 17 Dec 2001 40,960 A..H. --- "C:\Documents and Settings\damian javier ponce\Mis documentos\~WRL1251.tmp"
Mon 17 Dec 2001 40,960 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL1251.tmp"
Thu 8 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL3754.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL0969.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL1851.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL3936.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL0309.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL1748.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL3072.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL0662.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL2254.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL0987.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL0144.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL3972.tmp"
Sat 10 Aug 2002 1,763,840 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL1166.tmp"
Sat 10 Aug 2002 1,763,840 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL1245.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL3975.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL2794.tmp"
Thu 9 Sep 2004 4,348 ..SH. --- "C:\Documents and Settings\All Users.I386\DRM\DRMv1.bak"
Wed 18 May 2005 30,881 A..H. --- "C:\Mis documentos\Mi m£sica\Copia de seguridad de la licencia\drmv1lic.bak"
Wed 1 Jan 2003 4,348 ...H. --- "C:\Mis documentos\Mi m£sica\Copia de seguridad de la licencia\drmv1key.bak"
Fri 4 Mar 2005 488 A.SH. --- "C:\Mis documentos\Mi m£sica\Copia de seguridad de la licencia\drmv2key.bak"
Thu 29 Nov 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\6e9e61cf f8be4241051507e627852af1\BIT9A.tmp"
Thu 15 May 2003 43,008 ...H. --- "C:\Archivos de programa\Archivos comunes\Adobe\ESD\DLMCleanup.exe"
Sun 28 Oct 2007 20,207,632 A..H. --- "C:\Documents and Settings\kaiser\Configuraci¢n local\Temp\BIT104.tmp"
Sun 28 Oct 2007 20,207,632 A..H. --- "C:\Documents and Settings\kaiser\Configuraci¢n local\Temp\BIT9B.tmp"
Sun 28 Oct 2007 20,207,632 A..H. --- "C:\Documents and Settings\kaiser\Configuraci¢n local\Temp\BITA9.tmp"
Sun 28 Oct 2007 20,207,632 A..H. --- "C:\Documents and Settings\kaiser\Configuraci¢n local\Temp\BITC9.tmp"

Finished!

Hiciste bien los pasos arriba mencionados?

El MBR Rootkit, sigue en tu sistema, por lo que usaremos otras opciones...!


Paso 1- Descarga en el escritorio y no las ejecutes aun.

• DrWebCure-It
• Norman Sinowal Cleaner.
• MalwareBytes' Antimalware.

Paso 2- Reinicia he inicia en "Modo a prueba de fallos"


Paso 3- Para ejecutar la Herramienta Norman Sinowal Cleaner.

• Doble Click sobre el "Norma Sinowal Cleaner"
• Acepta la Licencia.
• Elija la Particion a analisar, Debieria ser C:\
• Click Sobre "Start Scan"
• Espera a que termine el Analisis.
• Copias y pegas aca el reporte que genera la herramienta, esta ubicado en el Escritorio, con el nombre NFix_****-**-**_**-**-**.txt ( Donde esta **, es el tiempo en que se realizo el analisis.

Paso 4- Para ejecutar la Herramienta DrWeb

• Click sobre launch.exe
• Click sobre iniciar.
• Al Avis que sale, Dale Click sombre "Aceptar"
• Iniciara un analisis rapido, le damos click sobre el icono "Stop", para parar.
• Una vez Parado el Anilisis Rapido, Marcamos "Escaneo Completo"
• Click sobre el Inico de la "Play", para Iniciar el Analisis
• Una vez que haya finalizado, click sobre "Eliminar", para que elimine todo lo detectado.
• Guardar el informe: Ir a Archivo > Grabar lista de Informes...
• Luego, podemos guardar el informe con un nombre a gusto propio en una ubicación que sea fácil de ubicar (se encuentra guardado bajo la extensión ".csv")
• Copias y pegas aca el contenido de ese reporte.

Nota* Vuelva a ejecutar el SDFix, para verificar que la infeccion se fue.

Paso 5- Regresa a modo normal .

Paso 6- Para ejecutar Malwarebytes' Anti-Malware

1. Haga doble clic en setup.exe-mbam para instalarlo.
2. Elija idioma español
3. Antes de hacer clic en el botón Finalizar, asegúrese de que estas 2 casillas esten marcadas:
   • Actualización Malwarebytes' Anti-Malware
   • Ejecutar Malwarebytes' Anti-Malware
4. Seleccione la pestaña "Escáner".
5. Marque la Casilla de "Realizar un Examen Completo" . Haga clic en "Examinar", a continuación, haga clic en "Empezar a Examinar"
6. Una vez que haya finalizado el Analisis
7. Marque todos los elementos y haga clic en "Mandar A cuarentena."
8. se abrirá el Bloc de Notas. Por favor, este registro Peguelo en su próxima respuesta. También puede encontrar el Reporte en la "Pestaña" "Registros".

En tu Siguiente Post :

1. Reporte de NSC
2. Reporte de DRW
3. Reporte de SDFix.
4. Reporte de MBAM

Salu2!
Me cuentas!

hola como estas bueno en principio pedir disculpas por la demora pero estos scanes tardan mucho sobre todo el del dr web que me llevo como 14 horas y debi cortarlo varias veces bueno aca estan los informes :

1)el del norman :

Norman SinowalMBR Cleaner
Copyright © 1990 - 2008, Norman ASA. Built 2008/05/13 11:21:18

Norman Scanner Engine Version: 5.92.04
Nvcbin.def Version: 5.92.00, Date: 2008/05/13 11:21:18, Variants: 0

Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Professional 5.1.2600(Safe mode)
Logged on user: 123-COMP\Administrador

Set registry value: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = -> ""
Removed registry value: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Sys temFileProtection -> ShowPopups = 0x00000000

Scan started: 30/06/2008 1908

Scanning bootsectors...

Unable to scan for SinowalMBR hooks

Number of sectors found: 0
Number of sectors scanned: 0
Number of sectors not scanned: 0
Number of infections found: 0
Number of infections removed: 0
Total scanning time: 0s 751ms


Scanning running processes and process memory...

Number of processes/threads found: 572
Number of processes/threads scanned: 572
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 34s


Scanning file system...

Scanning: C:\*.*

C:\Documents and Settings\kaiser\Escritorio\hacha.zip/hache.chm (Error whilst scanning file: I/O Error)

Scanning: E:\*.*

Scanning: F:\*.*

F:\Cosas de persy\Parche_WINtrucho.rar/CMT (Error whilst scanning file: I/O Error)


Running post-scan cleanup routine:

Number of files found: 373257
Number of archives unpacked: 3355
Number of files scanned: 373238
Number of files not scanned: 19
Number of files skipped due to exclude list: 0
Number of infected files found: 0
Number of infected files repaired/deleted: 0
Number of infections removed: 0
Total scanning time: 3h 40m 46s


2)El del dr web y aca hay varias cositas


dapns.dll;C:\Archivos de programa\DAP;Adware.Dap;;
Process.exe;C:\SDFix\apps;Tool.Prockill;;
data007\yhelper.dll;C:\Documents and Settings\kaiser\Configuración local\Temp\aax115.tmp.exe\data013\data007;Adware.Y assist.21;;
data007;C:\Documents and Settings\kaiser\Configuración local\Temp\aax115.tmp.exe\data013;Archivo comprimido contiene objetos infectados;;
data016\sremove.exe;C:\Documents and Settings\kaiser\Configuración local\Temp\aax115.tmp.exe\data013\data016;Adware.Y assist;;
data016;C:\Documents and Settings\kaiser\Configuración local\Temp\aax115.tmp.exe\data013;Archivo comprimido contiene objetos infectados;;
data002\data001;C:\Documents and Settings\kaiser\Configuración local\Temp\aax115.tmp.exe\data013\data045\data002; Adware.Cdn;;
data002\data002;C:\Documents and Settings\kaiser\Configuración local\Temp\aax115.tmp.exe\data013\data045\data002; Adware.Cdn;;
data002;C:\Documents and Settings\kaiser\Configuración local\Temp\aax115.tmp.exe\data013\data045;Archivo comprimido contiene objetos infectados;;
data045;C:\Documents and Settings\kaiser\Configuración local\Temp\aax115.tmp.exe\data013;Archivo comprimido contiene objetos infectados;;
data013\data049;C:\Documents and Settings\kaiser\Configuración local\Temp\aax115.tmp.exe\data013;Adware.Cdn;;
data013;C:\Documents and Settings\kaiser\Configuración local\Temp\aax115.tmp.exe;Archivo comprimido contiene objetos infectados;;
aax115.tmp.exe;C:\Documents and Settings\kaiser\Configuración local\Temp;Archivo comprimido contiene objetos infectados;Movido.;
Ifue.exe;C:\Documents and Settings\kaiser\Configuración local\Temp;Trojan.Packed.512;Eliminado.;
oDyv0XaSO.exe;C:\Documents and Settings\kaiser\Configuración local\Temp;Trojan.Spambot.3151;Eliminado.;
PGtidQX5.exe;C:\Documents and Settings\kaiser\Configuración local\Temp;Trojan.Packed.512;Eliminado.;
setup.exe;F:\;Win32.HLLW.Puce;Eliminado.;
SDFix.exe\SDFix\apps\Process.exe;F:\Cosas de persy\SDFix.exe;Tool.Prockill;;
SDFix.exe;F:\Cosas de persy;Archivo comprimido contiene objetos infectados;;
iMeshV4.exe\data024;F:\Mis archivos recibidos\iMeshV4.exe;Adware.Forganiz;;
data027\data001;F:\Mis archivos recibidos\iMeshV4.exe\data027;Adware.MyWay;;
data027\data002;F:\Mis archivos recibidos\iMeshV4.exe\data027;Adware.MyWay;;
data027\data003;F:\Mis archivos recibidos\iMeshV4.exe\data027;Adware.MyWay;;
data027;F:\Mis archivos recibidos\iMeshV4.exe;Archivo comprimido contiene objetos infectados;;
data029\cd_clint.dll;F:\Mis archivos recibidos\iMeshV4.exe\data029;Adware.Cydoor;;
data029\cd_htm.dll;F:\Mis archivos recibidos\iMeshV4.exe\data029;Adware.Cydoor;;
data029;F:\Mis archivos recibidos\iMeshV4.exe;Archivo comprimido contiene objetos infectados;;
iMeshV4.exe\data030;F:\Mis archivos recibidos\iMeshV4.exe;Adware.Ezula.origin;;
iMeshV4.exe\data031;F:\Mis archivos recibidos\iMeshV4.exe;Adware.NewDotNet;;
iMeshV4.exe\data032;F:\Mis archivos recibidos\iMeshV4.exe;Adware.Gator;;
iMeshV4.exe;F:\Mis archivos recibidos;Archivo comprimido contiene objetos infectados;Movido.;
setup.exe;F:\regueton;Win32.HLLW.Puce;Eliminado.;
A0033549.exe;F:\System Volume Information\_restore{13B16AC7-8E16-4392-9778-443634409865}\RP25;Win32.HLLW.Puce;Eliminado.;
A0033550.exe\data024;F:\System Volume Information\_restore{13B16AC7-8E16-4392-9778-443634409865}\RP25\A0033550.exe;Adware.Forganiz;;
data027\data001;F:\System Volume Information\_restore{13B16AC7-8E16-4392-9778-443634409865}\RP25\A0033550.exe\data027;Adware.MyW ay;;
data027\data002;F:\System Volume Information\_restore{13B16AC7-8E16-4392-9778-443634409865}\RP25\A0033550.exe\data027;Adware.MyW ay;;
data027\data003;F:\System Volume Information\_restore{13B16AC7-8E16-4392-9778-443634409865}\RP25\A0033550.exe\data027;Adware.MyW ay;;
data027;F:\System Volume Information\_restore{13B16AC7-8E16-4392-9778-443634409865}\RP25\A0033550.exe;Archivo comprimido contiene objetos infectados;;
data029\cd_clint.dll;F:\System Volume Information\_restore{13B16AC7-8E16-4392-9778-443634409865}\RP25\A0033550.exe\data029;Adware.Cyd oor;;
data029\cd_htm.dll;F:\System Volume Information\_restore{13B16AC7-8E16-4392-9778-443634409865}\RP25\A0033550.exe\data029;Adware.Cyd oor;;
data029;F:\System Volume Information\_restore{13B16AC7-8E16-4392-9778-443634409865}\RP25\A0033550.exe;Archivo comprimido contiene objetos infectados;;
A0033550.exe\data030;F:\System Volume Information\_restore{13B16AC7-8E16-4392-9778-443634409865}\RP25\A0033550.exe;Adware.Ezula.origi n;;
A0033550.exe\data031;F:\System Volume Information\_restore{13B16AC7-8E16-4392-9778-443634409865}\RP25\A0033550.exe;Adware.NewDotNet;;
A0033550.exe\data032;F:\System Volume Information\_restore{13B16AC7-8E16-4392-9778-443634409865}\RP25\A0033550.exe;Adware.Gator;;
A0033550.exe;F:\System Volume Information\_restore{13B16AC7-8E16-4392-9778-443634409865}\RP25;Archivo comprimido contiene objetos infectados;Movido.;
A0033551.exe;F:\System Volume Information\_restore{13B16AC7-8E16-4392-9778-443634409865}\RP25;Win32.HLLW.Puce;Eliminado.;




3)el del sdfix :

SDFix: Version 1.197
Run by Administrador on 03/07/2008 at 08:03 a.m.

Microsoft Windows XP [Versi¢n 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\Documents and Settings\Administrador\DoctorWeb\Quarantine\aax115 .tmp.exe - Deleted

Note - Files associated with the MBR Rootkit have been found on this system, to check the PC use the MBR Rootkit Detector by Gmer or CureIt by Dr.Web




Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-03 08:17:09
Windows 5.1.2600 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 17 Dec 2001 40,960 A..H. --- "C:\Mis documentos\~WRL1251.tmp"
Wed 1 Jan 2003 4,348 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv1.bak"
Sun 6 Apr 2003 3,068 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv19.bak"
Sat 8 Mar 2003 3,068 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv18.bak"
Sat 8 Mar 2003 4,592 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv10.bak"
Sat 8 Mar 2003 3,830 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv13.bak"
Wed 29 Oct 2003 4,592 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv15.bak"
Wed 2 Apr 2003 1,925 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv12.bak"
Wed 2 Apr 2003 2,306 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv17.bak"
Sun 6 Apr 2003 3,449 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv14.bak"
Sat 8 Mar 2003 1,544 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv16.bak"
Sat 8 Mar 2003 2,687 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv11.bak"
Thu 8 Apr 2004 48 ..SH. --- "C:\WINDOWS\All Users\DRM\v2ks.sec.bak"
Thu 8 Apr 2004 400 ..SH. --- "C:\WINDOWS\All Users\DRM\v2ks.bla.bak"
Thu 6 Nov 1997 4,608 ...H. --- "C:\Corel\Graphics8\Programs\Mos3280.dll"
Wed 5 Nov 1997 77,312 ...H. --- "C:\Corel\Graphics8\Programs\Mos1680.dll"
Thu 18 Dec 1997 426,496 ...H. --- "C:\Corel\Graphics8\Programs\convintl.dll"
Tue 6 Jan 1998 5,961,728 ...H. --- "C:\Corel\Graphics8\Programs\CNSFlt80.dll"
Mon 17 Dec 2001 40,960 A..H. --- "C:\Documents and Settings\damian javier ponce\Mis documentos\~WRL1251.tmp"
Mon 17 Dec 2001 40,960 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL1251.tmp"
Thu 8 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL3754.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL0969.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL1851.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL3936.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL0309.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL1748.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL3072.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL0662.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL2254.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL0987.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL0144.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL3972.tmp"
Sat 10 Aug 2002 1,763,840 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL1166.tmp"
Sat 10 Aug 2002 1,763,840 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL1245.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL3975.tmp"
Sat 10 Aug 2002 1,763,328 A..H. --- "C:\Documents and Settings\OSA\Mis documentos\~WRL2794.tmp"
Thu 9 Sep 2004 4,348 ..SH. --- "C:\Documents and Settings\All Users.I386\DRM\DRMv1.bak"
Wed 18 May 2005 30,881 A..H. --- "C:\Mis documentos\Mi m£sica\Copia de seguridad de la licencia\drmv1lic.bak"
Wed 1 Jan 2003 4,348 ...H. --- "C:\Mis documentos\Mi m£sica\Copia de seguridad de la licencia\drmv1key.bak"
Fri 4 Mar 2005 488 A.SH. --- "C:\Mis documentos\Mi m£sica\Copia de seguridad de la licencia\drmv2key.bak"
Thu 29 Nov 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\6e9e61cf f8be4241051507e627852af1\BIT9A.tmp"
Thu 15 May 2003 43,008 ...H. --- "C:\Archivos de programa\Archivos comunes\Adobe\ESD\DLMCleanup.exe"
Sun 28 Oct 2007 20,207,632 A..H. --- "C:\Documents and Settings\kaiser\Configuraci¢n local\Temp\BIT104.tmp"
Sun 28 Oct 2007 20,207,632 A..H. --- "C:\Documents and Settings\kaiser\Configuraci¢n local\Temp\BIT9B.tmp"
Sun 28 Oct 2007 20,207,632 A..H. --- "C:\Documents and Settings\kaiser\Configuraci¢n local\Temp\BITA9.tmp"

Finished!





4)y el del anti mal ware:


Malwarebytes' Anti-Malware 1.19
Versión de la Base de Datos: 899
Windows 5.1.2600

01:18:39 a.m. 04/07/2008
mbam-log-7-4-2008 (01-18-31).txt

Tipo de examen : Examen Completo (C:\|E:\|F:\|)
Objetos examinados: 153973
Tiempo transcurrido: 1 hour(s), 49 minute(s), 34 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 3
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 1
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_CLASSES_ROOT\Interface\{6986a6ce-9d58-11d6-91c2-00e02964e8e3} (Dialer) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{6986a6d0-9d58-11d6-91c2-00e02964e8e3} (Dialer) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{6986a6c2-9d58-11d6-91c2-00e02964e8e3} (Dialer) -> No action taken.

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)



hay bastantes cosas .. espero indicaciones a seguir...
desde ya muchas gracias
Marcos

El MBR rootkit, sigue en tu sistema, por favor, realiza lo siguiente (Perdon por tardar en la respuesta)

-Apaga el "Restaurar Sistema" (solo en Win Me y XP) y activa ver archivos ocultos.

- Descarga, Instala y/o actualiza estos programas, (pero no las ejecutes aun).

• Elimina el ejecutable del GMER´s MBR.exe que se encuentra en el escritorio.

• A continuación descarga nuevamente la herramienta GMER´s mbr.exe y la guardas en directorio raíz C:\

• Quedando de la siguiente manera: C:\mbr.exe (asegurate de que quedo de esa forma)

-Reinicia en Modo Seguro (a prueba de fallos)

Ve a inicio ejecutar y escribe "mbr.exe -f" (sin las comillas y fijate en el espacio entre la letra e y el signo menos), le das Aceptar para iniciar el proceso de reparación de MBR.

NOTA: Si este comando no se ejecuta de forma correcta puedes usar este procedimiento alternativo.

• Ve a Inicio > Todos los programas > Accesorios > Simbolo del sistema
• Una vez en la ventana MS-DOS escribes el siguiente comando: "C:\mbr.exe -f" (sin las comillas y fijate en el espacio entre la letra e y el signo menos), le das Aceptar para iniciar el proceso de reparación de MBR.

-Ejecuta estos programas (de a uno).

• Dr. Web Cure-IT <-- Elimina las infecciones que detecte.

• Ejecuta SDFix siguiendo los pasos indicados en su Manual.

- Reinicia en modo normal y usa el CCleaner para limpiar el sistema.
Primero utiliza la opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
Luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

• A continuación haces doble clic sobre el archivo C:\mbr.exe para ejecutarlo.
  Se producira un reporte llamado MBRlog.
  Guarda este reporte en el bloc de notas para copiarlo y pegarlo en este mismo tema.

-Pega los reportes generados por SDFix y Dr Web para revisarlos junto el MBRlog creado por GMER´s MBR.exe .

NOTA:
-Para mayor comodidad imprime los pasos.
-Al terminar los pasos esconde los archivos ocultos y activa restaurar sistema.
-Recuerda volver y contarnos los resultados.[/quote]