Vamos por partes... que esto es una pelicula.

Normal.

Buena medida.

Aquï, con el del Kaspersky y Panda vale.

Esto siempre lo último, el HJT solo se pone como último recurso y no es aquí, generalmente los problemas se suelen resolver antes en el resto de los foros.

Lee estos temas:

Políticas del Foro

Consejos

Políticas del Foro de HijackThis

Gracias por ayudarme, esto cada vez esta peor, no puedo usar el antivirus y el sistema va superlento, aqui te dejo los informes de los antivirus online, si necesitas algo más ya me lo dirás,
Analizar usando las siguientes bases standard
Analizar archivos verdadero
Analizar bases de correo verdadero
Número de objeros analizados 83429
Virus encontrados 7
Objetos infectados 12 / 0
Objetos sospechosos 2
Duración del análisis 01:05:04
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

F:\Archivos de programa\ESET\infected\EJLZO4AA.NQF Infectados: Trojan.Win32.Pakes.bzo saltado

F:\Archivos de programa\SpywareBlaster\unins000.exe Infectados: Trojan-Downloader.Win32.Agent.vur saltado

F:\Documents and Settings\1\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

F:\Documents and Settings\1\Configuración local\Archivos temporales de Internet\Content.IE5\74WPGACA\b64_1[1].jpg Object is locked saltado

F:\Documents and Settings\1\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

F:\Documents and Settings\1\Configuración local\Archivos temporales de Internet\Content.IE5\MV7911FN\b64_3[1].jpg Object is locked saltado

F:\Documents and Settings\1\Configuración local\Archivos temporales de Internet\Content.IE5\OUPK504E\b64_2[1].jpg Object is locked saltado

F:\Documents and Settings\1\Configuración local\Archivos temporales de Internet\Content.IE5\VOIZC6RD\b64[1].jpg Infectados: Email-Worm.Win32.Bagle.of saltado

F:\Documents and Settings\1\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado

F:\Documents and Settings\1\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

F:\Documents and Settings\1\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

F:\Documents and Settings\1\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

F:\Documents and Settings\1\Configuración local\Historial\History.IE5\MSHist0120080711200807 12\index.dat Object is locked saltado

F:\Documents and Settings\1\Configuración local\Temp\TEMP.ZIP/BTCPatcher.exe Infectados: Trojan.Win32.Agent.ire saltado

F:\Documents and Settings\1\Configuración local\Temp\TEMP.ZIP CAB: infectado - 1 saltado

F:\Documents and Settings\1\Cookies\index.dat Object is locked saltado

F:\Documents and Settings\1\Datos de programa\m\flec006.exe Infectados: Email-Worm.Win32.Bagle.of saltado

F:\Documents and Settings\1\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\App Logs\SUPERANTISPYWARE-7-11-2008( 2-30-42 ).LOG Object is locked saltado

F:\Documents and Settings\1\Mis documentos\RegRun2\quarantine\BTCPATCHER.EXE Infectados: Trojan.Win32.Agent.ire saltado

F:\Documents and Settings\1\ntuser.dat Object is locked saltado

F:\Documents and Settings\1\ntuser.dat.LOG Object is locked saltado

F:\Documents and Settings\1\UserData\index.dat Object is locked saltado

F:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\WinAgentbm.zip/rar.exe Sospechosos: Password-protected-EXE saltado

F:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\WinAgentbm.zip ZIP: sospechoso - 1 saltado

F:\Documents and Settings\All Users\Datos de programa\Symantec\Norton AntiVirus\Quarantine\637322AB.wmf Infectados: Trojan-Downloader.Win32.Agent.acd saltado

F:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

F:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

F:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

F:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

F:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

F:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

F:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

F:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

F:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

F:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

F:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

F:\Emule\Temp\002.part Object is locked saltado

F:\Emule\Temp\006.part Object is locked saltado

F:\Emule\Temp\007.part Object is locked saltado

F:\Emule\Temp\008.part Object is locked saltado

F:\Emule\Temp\009.part Object is locked saltado

F:\Emule\Temp\010.part Object is locked saltado

F:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

F:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

F:\WINDOWS\SchedLgU.Txt Object is locked saltado

F:\WINDOWS\Sti_Trace.log Object is locked saltado

F:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

F:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

F:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

F:\WINDOWS\system32\config\default Object is locked saltado

F:\WINDOWS\system32\config\default.LOG Object is locked saltado

F:\WINDOWS\system32\config\Internet.evt Object is locked saltado

F:\WINDOWS\system32\config\SAM Object is locked saltado

F:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

F:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

F:\WINDOWS\system32\config\SECURITY Object is locked saltado

F:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

F:\WINDOWS\system32\config\software Object is locked saltado

F:\WINDOWS\system32\config\software.LOG Object is locked saltado

F:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

F:\WINDOWS\system32\config\system Object is locked saltado

F:\WINDOWS\system32\config\system.LOG Object is locked saltado

F:\WINDOWS\system32\drivers\downld\112234.exe Infectados: Email-Worm.Win32.Bagle.of saltado

F:\WINDOWS\system32\drivers\downld\76859.exe Object is locked saltado

F:\WINDOWS\system32\drivers\downld\78906.exe Object is locked saltado

F:\WINDOWS\system32\drivers\downld\84328.exe Object is locked saltado

F:\WINDOWS\system32\drivers\srosa.sys Object is locked saltado

F:\WINDOWS\system32\h323log.txt Object is locked saltado

F:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

F:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

F:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

F:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado

F:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado

F:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado

F:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

F:\WINDOWS\wiadebug.log Object is locked saltado

F:\WINDOWS\wiaservc.log Object is locked saltado

Análisis completado.

viernes, 11 de julio de 2008 3:59:19
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 10/07/2008
Registros en la base antivirus: 837031


Panda activescan

W32/Bagle.RP.w... Virus Activo Ocultar + Info
1. F:\Documents and Settings\1\Configuración loc...t\Content.IE5\MV7911FN\b64_3[1].jpg
2. F:\Documents and Settings\1\Datos de programa\m\flec006.exe
3. F:\WINDOWS\system32\drivers\downld\84328.exe
4. F:\WINDOWS\system32\drivers\downld\112234.exe
5. F:\Documents and Settings\1\Configuración loc...net\Content.IE5\VOIZC6RD\b64[1].jpg

W32/Bagle.KV.w... Virus Latente Ocultar + Info
1. F:\Documents and Settings\1\Configuración loc...t\Content.IE5\74WPGACA\b64_1[1].jpg
2. F:\WINDOWS\system32\drivers\downld\78906.exe

Trj/Autorun.GV Virus Latente Ocultar + Info No desinfectable
1. F:\Documents and Settings\1\Configuración local\Temp\TEMP.ZIP[BTCPatcher.exe]
2. F:\Documents and Settings\1\Mis documentos\RegRun2\quarantine\BTCPATCHER.EXE

W32/Bagle.SP.w... Virus Latente Ocultar + Info
1. F:\Documents and Settings\1\Configuración loc...t\Content.IE5\OUPK504E\b64_2[1].jpg
2. F:\WINDOWS\system32\drivers\downld\76859.exe


Peligrosidad baja (1)
Peligrosidad baja (1) W32/Bagle.RP.w... Virus Latente Ocultar + Info
1. F:\WINDOWS\system32
Peligrosidad baja (1) dialer.min Dialer Latente Ocultar + Info
1. HKEY_CURRENT_USER\Software
Archivos sospechosos

C:\System Volume Information\_restore{A6EA04C...731-1333E5336A2C}\RP86\A0022164.exe
C:\System Volume Information\_restore{A6EA04C...731-1333E5336A2C}\RP86\A0022163.exe
C:\System Volume Information\_restore{A6EA04C...31-1333E5336A2C}\RP101\A0062169.exe
C:\System Volume Information\_restore{A6EA04C...31-1333E5336A2C}\RP101\A0060883.exe

Salu2
M.J.

El informe del Kaspersky dice que tienes 12 objetos infectados y sin embargo solo aparecen 9 da la sensación de que lo has cortado al pegarlo y le falta algo.

De todas formas para ir adelantando tienes que borrar estos archivos.

C:\System Volume Information\_restore{A6EA04C...731-1333E5336A2C}\RP86\A0022164.exe
C:\System Volume Information\_restore{A6EA04C...731-1333E5336A2C}\RP86\A0022163.exe
C:\System Volume Information\_restore{A6EA04C...31-1333E5336A2C}\RP101\A0062169.exe
C:\System Volume Information\_restore{A6EA04C...31-1333E5336A2C}\RP101\A0060883.exe

Para borrar estos desactiva Restaurar sistema y reinicia el PC, no lo reactives hasta que no termines la limpieza total.

F:\Archivos de programa\ESET\infected\EJLZO4AA.NQF, este está en lo que parece la cuarentena del NOD32 por lo que si la vacías se irá solo.

F:\Archivos de programa\SpywareBlaster\unins000.exe, este es el programa de desinstalación del SpywareBlaster, intenta desinstalar el programa desde Agregar y quitar programas a ver si lo borra y vuelves a instalar el programa.

Si no te deja desinstalar, borralo y luego reinstalas el programa para que te genere el bueno.

F:\Documents and Settings\1\Configuración local\Archivos temporales de Internet\Content.IE5\VOIZC6RD\b64[1].jpg
F:\Documents and Settings\1\Configuración loc...t\Content.IE5\74WPGACA\b64_1[1].jpg
F:\Documents and Settings\1\Configuración loc...t\Content.IE5\OUPK504E\b64_2[1].jpg

Borra los archivos temporales desde el internet explorer, incluso descarga y ejecuta la herramienta ATF-Cleaner y la sitúas en la carpeta que tu quieras, no necesita instalación, se ejecuta con un doble click simplemente. Es para borrar archivos temporales.

Descarga e instala la herramienta CCleaner, pasa la opción Limpiador también para borrar archivos temporales.

F:\Documents and Settings\1\Configuración local\Temp\TEMP.ZIP/BTCPatcher.exe

Este al estar en una carpeta Temp se debería borrar tambíen, si las herramientas citadas no lo hacen, hazlo a mano tú. Mira la carpeta TEMP.ZIP porque si solo tiene el fichero citado la puedes borrar entera.

F:\Documents and Settings\1\Datos de programa\m\flec006.exe

Me huele que la carpeta m tampoco sirve para nada, comprueba lo que tiene, ante la duda borra solo el elemento infectado.

F:\Documents and Settings\1\Mis documentos\RegRun2\quarantine\BTCPATCHER.EXE

Este borrale, esa carpeta de quarantine, puede que sea del antiguo norton, no lo se ya que nunca he usado ese antivirus, si te suena borrala.

F:\Documents and Settings\1\Configuración local\Temp\TEMP.ZIP CAB

Borralo.

F:\Documents and Settings\All Users\Datos de programa\Symantec\Norton AntiVirus\Quarantine\637322AB.wmf

Esta si tiene pinta de ser la cuarentena oficial de norton, borra la carpeta entera.

Luego busca Norton en tu PC y borra todas las carpetas que existan ya que aunque lo has desinstalado no te borró todas.

F:\WINDOWS\system32\drivers\downl\112234.exe
F:\WINDOWS\system32\drivers\downld\84328.exe
F:\WINDOWS\system32\drivers\downld\78906.exe
F:\WINDOWS\system32\drivers\downld\76859.exe

Borralos.

Luego de que hayas borrado los archivos, pasa la opción Registro, del CCLeaner, para borrar los restos que quedan en el Registro de Windows. Esta opción la ejecutas varias veces seguidas hasta que te diga que ya no encuentra más problemas.

Vuelve a pasar el Panda y el Kaspersky y pega los informes, mejor uno en cada post, ten cuidado al copiar y pegar no te dejes nada.

En Opciones de carpeta Ver, tengo marcada la opción "Mostar el contenido de las carpetas de sistema ,
tengo desmarcada la opción que aparece más abajo que se llama "Ocultar archivos protegidos del sistema operativo(recomendado)"
y por último tengo desmarcada la opción "Utilizar uso compartido simple de archivos (recomendado)".
Tambien tengo activada la opción Desactivar restaurar sistema en todas las unidades, he reiniciado el pc para hacerlo en "modo seguro",
pero ya no puedo hacerlo, se reinicia.
Y con todo esto no puedo ni siquiera ver la carpeta donde están los archivos siguientes:

C:\System Volume Information\_restore{A6EA04C...731-1333E5336A2C}\RP86\A0022164.exe
C:\System Volume Information\_restore{A6EA04C...731-1333E5336A2C}\RP86\A0022163.exe
C:\System Volume Information\_restore{A6EA04C...31-1333E5336A2C}\RP101\A0062169.exe
C:\System Volume Information\_restore{A6EA04C...31-1333E5336A2C}\RP101\A0060883.exe
Tampoco puedo ver la carpeta de configuración local,
F:\Documents and Settings\1\Configuración local\Archivos temporales de Internet\Content.IE5\VOIZC6RD\b64[1].jpg
F:\Documents and Settings\1\Configuración loc...t\Content.IE5\74WPGACA\b64_1[1].jpg
F:\Documents and Settings\1\Configuración loc...t\Content.IE5\OUPK504E\b64_2[1].jpg

Voy a seguir intentando abrir windows en modo seguro, con algunas indicaciones que hay en el foro mientras espero tu respuesta a ver si me deja y puedo continuar,
Muy agradecida
M.J.

Te falta marcar Mostrar todos los archivos y carpetas ocultos, que está antes que todas las demás.

La carpeta C:\System Volume Information\_restore se borrará sola al reiniciar el PC si has desactivado restaurar sistema. No hace falta que la veas.

Entra en Modo Seguro si no te deja mira el tema que tiene un archivo que puedes bajar para reparar.

Gracias por responder tan pronto
He mirado, y vuelto a mirar y esta opción no la encuentro, te haría una captura de pantalla, como veo que hacen otros, pero yo no se.
En cuanto a entrar en modo a prueba de fallos, lo he intentado con el superantispyware y con el archivo safemoderepair y no hay manera.
Como te dije antes, tampoco puedo entrar en F:\Documents and Settings\1\Configuración local
Aunque si puedo en F:\Documents and Settings\administrador\Configuración local.
No entiendo como hay 3 cuentas, cuando solo lo tengo para un usuario.
La tercera es F:\Documents and Settings\Administrador.1-9766418FC7D94\Configuración local
Me gustaría dejar solo una, pero tengo miedo a perder algo importante.
Saludos
M.J.

Baja el RegUnlocker marca la opción de reparar archivos ocultos.

Reparadores

* Repara la visualización de archivos ocultos
* Repara la visualización de extensiones de archivo
* Repara la reproducción automática de discos (autorun)
* Repara el Modo Seguro (Modo a prueba de fallos)
* Restaura el Shell de Windows por defecto
* Restaura el Userinit de Windows por defecto
* Reactiva la Comprobación de archivos de Sistema (SF

He bajado el regunlocker, he marcado esta opción, he reiniciado el sistema varias veces por si acaso, cada vez que reinicio se marca la casilla de ocultar archivos protegidos del SO y yo la vuelvo a desmarcar, pero no consigo nada de nada
Esto desespera a un santo,
Gracias y Salu2
M.J.

Hola, sigo sin poder iniciar windows en modo seguro, tampoco puedo ver las carpetas que te dije,desde el sistema, pero no se exactamente como, desde el explorador del Nero he podido ver algunas carpetas y aunque no me dejaba acceder a ellas, les he podido cambar las propiedades y he borrado algunos de los archivos que mencionastes, la única a la que no he podido acceder de ninguna manera, es la siguiente,
F:\WINDOWS\system32\drivers\downld
desde el Nero no se ve tampoco y le he pegado la ruta a fileassassin, pero me dice que no puede verla ó no existe.
He borrado los temporales con ATF-Cleaner, pero no me deja ejecutar ni Ccleaner ni algunos otros programas, dice que no son aplicaciones win32 validas, en este momento estoy escaneando con karspersky, cuando termine te dejaré el informe y despues lo haré con panda en dos post diferentes.

Saludos y gracias por tu atención
M.J.

Repara el modo seguro.