Hola, recién me registro aquí.

Antes de comentar mi problema, ya famoso según veo porque he visto varios problemas similares con este falso antispyware, aclaro que postee un nuevo tema, porque entendí que cada problema puede ser específico, no es mi intención repetir posts en vano.

Bueno, en mi caso, otra persona que usa esta computadora le hizo click a un comando que intento ejecutarse durante la navegación de una página (Clickeó EJECUTAR en lugar de CANCELAR) y descargó, inevitablemente este programa...

Aparece en Agregar/Quitar programas, pero no se desinstala. Cuando se instaló, el Avast Antivirus encontraba amenazas continuamente, luego puede cerrar esta amenaza y no se registró nada más. Noté que aparecen registros en la lista de inicio de WIndows, es decir, lo que se carga al iniciar Windows. Utilicé el SpyBot Search & Destroy y no encontró nada. Luego, me recomendaron BitDefender online, estando en modo a prueba de fallos con acceso a internet y encontró y eliminó una serie de amenzas. Pero el programa sigue ahí, sin desinstalarse. Luego, también me recomendaron una utilidad llamada EliStarA, que utilicé y encontró más amenazas. Pero el programa se mantenía instalado. También analicé el sistema con el Avast Antivirus y encontró una sola amenaza relacionada, que no pude reparar ni eliminar porque decía que estaba protegido con contraseña. Por último, recién utilicé al AdAware y tampoco encontró amenaza alguna.

Como información adicional, menciono que en mi caso, no sufrí más adevertencias falsas de virus o cambio de fondo de escritorio (esto último, nunca) desde que logré "cerrar" el Antivirus XP 08. Lo único visible que queda es "Antivirxp08" en Agrega/Quitar Programas... no se si sigue habiendo amenazas ocultas que los diversos programas que utilicé no registró.

Gracias de antemano por la ayuda que me puedan brindar.

Hola maxgk te doy la bienvenida al foro de Infospyware.

Realiza lo siguiente:

• Desactiva el Tea Timer del Spybot S & D (al terminar la desinfección lo puedes deshacer).
  
• Descarga Ccleaner.
  
• Descomprime DelPSGuard.Zip (al final de la pagina).
  
• Descarga y actualiza Malwarebytes' Anti-Malware.

• Reinicia e inicia en "Modo seguro" (a prueba de fallos).
  
  
  1. Ejecuta DelPSGuard:
     • Te saldran cuatro opciones...
       1. Desinfectar Win 98/2K/2003/NT/XP/vista
       2. Restaurar archivo HOST
       3. Borrar las entradas 015 True Zone Spyware
       4. Exit (Salir)
     • Elige la primera opcion para desinfectar el sistema operativo. Pulsas en "Enter".
     • Espera a que termine el proceso de desinfeccion.
     • Al finalizar el proceso saldra un Reporte en C:\Reportar_a_ForoSpyware.txt, lo guardas en el Escritorio.
     • Busca el Reporte que guardaste de DelPSGuard. Copias y pegas aqui su contenido.
  2. Ejecuta Malwarebytes' Anti-Malware;
     • Realiza un escaneo completo del PC y elimina las infecciones que este detecte.
     • El reporte queda guardado en la pestaña "Logs" o "Registros" en español, abres el reporte y copias el contenido para pegarlo en este tema.
  3. Ejecuta el Ccleaner.
     • Usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
     • Despues usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).
  
  
• Reinicia en modo normal y realiza un analisis completo con: Panda ActiveScan 2.0.

*Nota:*
- Pega los reportes de DelPSGuard, Malwarebytes' Anti-Malware y Panda para revisarlos.

Salu2.

Gracias por la ayuda!

El CCleaner lo tenia instalado.

El Malwarebytes encontró infecciones y las eliminó.

Noté tres cosas: cuando reinicié en modo normal nuevamente, el fondo de escritorio (que era la clásica pradera verde de XP) había cambiado a NINGUNO, en color azul!! También veo que el acceso directo del programa no está más en el escritorio, ni en Agregar/Quitar Programas, pero si siguen en el menú Inicio. Por último, el DelPSGuard me dejó un archivo con el registro y uno con el nombre HOSTS.

Los registros de cada programa:

DelPSGuard

DelPSGuard v 4.9.8
by www.ForoSpyware.com
Reporte Creado: 19:55:42,92, 14/07/2008
SO: Microsoft Windows XP [Versi¢n 5.1.2600]
Modo de Inicio: Seguro
_________________________________________


»»»»»»»»»»»» Carpetas y Archivos infectados »»»»»»»»»»»»

C:\WINDOWS\system32 \ntimage.gif Eliminado Malware.Bagle

»»»»»»»»»»»»»»»»»»» Programas Malwares »»»»»»»»»»»»»»»»»



»»»»»»»»»»»»»»»»»»» FIN »»»»»»»»»»»»»»»»»»»



Malwarebytes

Malwarebytes' Anti-Malware 1.20
Versión de la Base de Datos: 949
Windows 5.1.2600 Service Pack 3

09:58:55 p.m. 14/07/2008
mbam-log-7-14-2008 (21-58-55).txt

Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 68727
Tiempo transcurrido: 1 hour(s), 25 minute(s), 19 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 12
Ficheros Infectados: 9

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
C:\Archivos de programa\rhcgmcj0er3v (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Usuario\Datos de programa\rhcgmcj0er3v (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Usuario\Datos de programa\rhcgmcj0er3v\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Usuario\Datos de programa\rhcgmcj0er3v\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Usuario\Datos de programa\rhcgmcj0er3v\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Usuario\Datos de programa\rhcgmcj0er3v\Quarantine\Autorun\HKCU\RunO nce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Usuario\Datos de programa\rhcgmcj0er3v\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Usuario\Datos de programa\rhcgmcj0er3v\Quarantine\Autorun\HKLM\RunO nce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Usuario\Datos de programa\rhcgmcj0er3v\Quarantine\Autorun\StartMenu AllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Usuario\Datos de programa\rhcgmcj0er3v\Quarantine\Autorun\StartMenu CurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Usuario\Datos de programa\rhcgmcj0er3v\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Usuario\Datos de programa\rhcgmcj0er3v\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Ficheros Infectados:
C:\Archivos de programa\rhcgmcj0er3v\license.txt (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Archivos de programa\rhcgmcj0er3v\MFC71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Archivos de programa\rhcgmcj0er3v\MFC71ENU.DLL (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Archivos de programa\rhcgmcj0er3v\msvcp71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Archivos de programa\rhcgmcj0er3v\msvcr71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Archivos de programa\rhcgmcj0er3v\rhcgmcj0er3v.exe.local (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Archivos de programa\rhcgmcj0er3v\Uninstall.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Escritorio\Antivirus XP 2008.lnk (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully.
C:\Documents and Settings\Usuario\Datos de programa\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully.



Panda active scan

;************************************************* ************************************************** ************************************************** ******************************
ANALYSIS: 2008-07-14 22:23:56
PROTECTIONS: 1
MALWARE: 1
SUSPECTS: 0
;************************************************* ************************************************** ************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;================================================= ================================================== ================================================== ==============================
avast! antivirus 4.8.1201 [VPS 080714-0] 4.8.1201 Yes Yes
;================================================= ================================================== ================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;================================================= ================================================== ================================================== ==============================
03205018 Generic Trojan Virus/Trojan No 0 Yes No C:\Archivos de programa\DelPSGuard\IED.exe
;================================================= ================================================== ================================================== ==============================
SUSPECTS
Sent Location 
;================================================= ================================================== ================================================== ==============================
;================================================= ================================================== ================================================== ==============================
VULNERABILITIES
Id Severity Description 
;================================================= ================================================== ================================================== ==============================
;================================================= ================================================== ================================================== ==============================

Hola.

Realiza lo siguiente:

• Descarga SmitfraudFix.exe.

• Reinicia en Modo Seguro
  
  1. Ejecuta SmitfraudFix;
     • Selecciona la opción "#2 - Clean" pulsando la [B[tecla 2[/b] y presiona ENTER.
     • Espera a que la herramienta lleve a cabo el proceso de desinfección. El fondo de Escritorio desaparecerá. Esto es normal.
     • Se abrirá una ventanita con la siguiente pregunta: Registry cleaning - Do you want to clean the registry?" (¿Desea limpiar el registro?)...Pulsa sobre la tecla "Y" (Yes) para confirmar que sí y pulsa ENTER.
     • El ordenador se reiniciará para teminar el proceso de limpieza. Si no se reiniciara automáticamente, reinícialo manualmente.
     • Después de reiniciar, se generará un archivo "rapport.txt", normalmente en el directorio raíz C:\, que te informará de los archivos y claves del registro relacionados con SmitFraud y variantes que han sido eliminados (Pega el reporte). en tu proxima respuesta.
  
  
• Reinicia en Modo Normal:
  • Haz una Limpieza con CCleaner, usa la opción Limpiador para borrar cookies y temporales; y la opción Registro para efectuar una limpieza del registro de Windows.
    
    
  • Realiza un analisis completo con Ewido Online Scanner

*Nota*
- Pega el reporte de SmithFraudfix.
- Nos comenta los resultados.

================================================== ====================

Despues: Descomprime RegUnlocker.Zip.
Para ejecutar RegUnlocker:

1. Pulsa en la pestaña "Restricciones" y señala las opciones:
   • Eliminar las restricciones del Sistema
   • Eliminar las restricciones del ActiveDesktop
2. Pulsa en la pestaña "Internet" y señala las opciones:
   • Restaurar el archivo hosts de Windows por defecto
   • Restaurar el archivo hosts del Messenger de Microsoft (MSN Messenger y Windows Live Messenger)
3. Dale clic en Aplicar para ejecutar la herramienta.
4. Luego de su ejecución reinicia el Pc y comprueba.

Salu2!.

El fondo de escritorio puedo cambiarlo sin problemas, aunque reconozco que nunca comprobe si podía hacerlo antes de estos últimos pasos a seguir.
Sí dos veces cambió la página de inicio de IE, una al utilizar antes el DelPSGuard (a www.forospyware.com) y luego de utilizar SmitFraudFix (a Live Search). Supongo que es normal. Antivirus XP 08 sigue en "Menú Inicio - Programas", aunque no encuentro (ya desde antes) ninguna de las carpetas que se referían a este programa (esas del tipo "rv8709889086 así con números y letras) en "Archivos de Programa". Tendré que borrar las entradas en el menú inicio manualmente, enviandolas a la papelera?

Por último, no entiendo a que te referís con "comprobar" una vez que reinicio la PC luego de ejecutar RegUnlocker. Ejecute el RegUnlocker, siguiendo los pasos indicados, pero no entiendo eso.

Aquí están los registros:

SmitFraudFix v2.329

Scan done at 23:48:13,00, 15/07/2008
Run from C:\Downloads\SmitfraudFix
OS: Microsoft Windows XP [Versi¢n 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri




Y el de Ewido Online Scanner:

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.2o7
Path: C:\Documents and Settings\Usuario\Cookies\usuario@msnportal.112.2o7[1].txt
Risk: Medium

Name: TrackingCookie.Netflame
Path: C:\Documents and Settings\Usuario\Cookies\usuario@ssl-hints.netflame[2].txt
Risk: Medium


Gracias nuevamente por la ayuda!!

Hola.

Solo borra el acceso del menú inicio, tal como piensas hacer.

Elimina las herramientas que usaste durante el proceso, excepto:

• Ccleaner.
  
• Malwarebytes´ Anti-Malware.

- Nos comentas si se puede considerar el tema como solucionado.

Saludos.

Hola!

Borré el acceso del menú Inicio. Me quedaron algunas dudas.
Este archivo HOSTS que me generó el DelPSGuard en el Escritorio, debo borrarlo o dejarlo?
Según me dijeron, debo borrar dos .dll llamados "shlwapi.dll" y "wininet.dll" que supuestamente pertenecen al Antivirus XP 08... busque esos archivos en la PC y los encontré, pero obviamente no quiero hacer nada sin consultar, ya que debe ser delicado...
Por último, en "ejecutar - msconfig - inicio" qeudaron las dos líneas correspondientes a los procesos que cargaba el programa este, deshabilitadas por mí anteriormente... queda así o deberían haberse borrado? Encontré, buscando los nombres encontrados en msconfig, este archivo en C:\WINDOWS : RHCGMCJ0ER3V.EXE-2BF3198C.pf Es peligroso?

Esas serían mis dudas para dar por solucionado el problema luego.

Muchas Gracias!!

Hola.

1.- Borra lo que te dejó el DelPSGuard en el escritorio.

2.- Sube el (los) siguiente (s) archivo (s) a Virus Total; si te surgen dudas lee el manual.
Nota: Pega el (los) reporte (s) que se generen en este mismo tema.
3.- Dale clic en: Inicio >Ejecutar ==>escribes: regedit y en el registro buscas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
en la ventana de la derecha aparecen esos procesos, los borras y listo.
Nota: Ten mucho cuidado con lo que borras.

Saludos.

Hola!


shlwapi.dll


Motor antivirus;Versión;Última actualización;Resultado
AhnLab-V3;2008.7.17.0;2008.07.16;-
AntiVir;7.8.0.68;2008.07.16;-
Authentium;5.1.0.4;2008.07.15;-
Avast;4.8.1195.0;2008.07.16;-
AVG;7.5.0.516;2008.07.16;-
BitDefender;7.2;2008.07.16;-
CAT-QuickHeal;9.50;2008.07.16;-
ClamAV;0.93.1;2008.07.16;-
DrWeb;4.44.0.09170;2008.07.16;-
eSafe;7.0.17.0;2008.07.16;-
eTrust-Vet;31.6.5959;2008.07.16;-
Ewido;4.0;2008.07.16;-
F-Prot;4.4.4.56;2008.07.15;-
F-Secure;7.60.13501.0;2008.07.16;-
Fortinet;3.14.0.0;2008.07.16;-
GData;2.0.7306.1023;2008.07.16;-
Ikarus;T3.1.1.26.0;2008.07.16;-
Kaspersky;7.0.0.125;2008.07.16;-
McAfee;5340;2008.07.16;-
Microsoft;1.3704;2008.07.16;-
NOD32v2;3274;2008.07.16;-
Norman;5.80.02;2008.07.16;-
Panda;9.0.0.4;2008.07.16;-
Prevx1;V2;2008.07.16;-
Rising;20.53.22.00;2008.07.16;-
Sophos;4.31.0;2008.07.16;-
Sunbelt;3.1.1536.1;2008.07.15;-
Symantec;10;2008.07.16;-
TheHacker;6.2.96.381;2008.07.16;-
TrendMicro;8.700.0.1004;2008.07.16;-
VBA32;3.12.8.0;2008.07.16;-
VirusBuster;4.5.11.0;2008.07.16;-
Webwasher-Gateway;6.6.2;2008.07.16;-

Información adicional
Tamano archivo: 474624 bytes
MD5...: 16863632beca271e0e192d5857d1d9d4
SHA1..: 3f298abc347ef8c7c7efc82b934bd6ea1b759ebc
SHA256: e1b329f9a48724e2328fa9108defa145df1634b0300a1685ed 1046d7b2686026
SHA512: c7b12f60af9ce3cd83ceb20f900cbf4b2550b8f897278cc6d8 5f6ec7b5a31fb2<br>f3fbf53e6ca18f7957093491e3fc3550 5fbe559524ad67970598b5e235c9275f
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x77f451fb<br>timedatestamp.....: 0x4802becd (Mon Apr 14 02:17:49 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x6bb68 0x6bc00 6.82 2c77fd64e0e71e3ad76a6a06c06bda28<br>.data 0x6d000 0xff8 0xc00 2.57 1666ebdfec8ec5419a2cff221a9b297b<br>.rsrc 0x6e000 0x1670 0x1800 4.28 dd0d48c246704be89d83d1005d0b7582<br>.reloc 0x70000 0x59d4 0x5a00 6.61 ea1f43593e5dd7ccdbe5940959ca5816<br><br>( 5 imports ) <br>&gt; ADVAPI32.dll: RegCloseKey, GetCurrentHwProfileA, OpenThreadToken, RegEnumValueW, RegSetValueExW, RegSetValueW, RegSetValueA, RegQueryValueExW, RegQueryValueW, RegQueryValueA, RegQueryInfoKeyW, RegOpenKeyExW, RegOpenKeyW, RegDeleteKeyA, RegQueryInfoKeyA, RegDeleteValueA, RegEnumValueA, RegEnumKeyA, RegSetValueExA, RegCreateKeyExA, RegEnumKeyExA, RegQueryValueExA, GetTokenInformation, OpenProcessToken, GetAce, FreeSid, SetSecurityDescriptorDacl, InitializeSecurityDescriptor, AddAccessDeniedAce, AddAccessAllowedAce, InitializeAcl, GetLengthSid, AllocateAndInitializeSid, GetUserNameA, GetUserNameW, RegCreateKeyA, RegCreateKeyW, RegCreateKeyExW, RegDeleteKeyW, RegDeleteValueW, RegEnumKeyW, RegEnumKeyExW, RegOpenKeyA, RegOpenKeyExA<br>&gt; GDI32.dll: EnumFontFamiliesA, EnumFontFamiliesW, EnumFontFamiliesExA, EnumFontFamiliesExW, GetTextExtentPoint32A, GetTextExtentPoint32W, GetTextFaceA, GetTextFaceW, GetCharacterPlacementA, GetCharacterPlacementW, CreateFontA, CreateFontW, CreateMetaFileA, CreateMetaFileW, StartDocA, StartDocW, GetTextExtentPointW, ExtTextOutA, GetDIBits, CreatePalette, GetSystemPaletteEntries, CreateCompatibleDC, DeleteObject, GetPaletteEntries, CreateHalftonePalette, GetStockObject, GetDeviceCaps, CreateBitmap, CreateCompatibleBitmap, SelectObject, GetTextExtentPointA, CreateFontIndirectA, CreateFontIndirectW, GetObjectA, GetObjectW, GetTextMetricsA, GetTextMetricsW, SetTextColor, SetBkMode, ExtTextOutW, SetBkColor, GetCharWidthA, GetCharWidth32W, CreateColorSpaceA, CreateColorSpaceW, CreateDCA, CreateDCW, CreateICA, DeleteDC, CreateICW<br>&gt; KERNEL32.dll: GetWindowsDirectoryA, SetLastError, LeaveCriticalSection, FlushFileBuffers, WriteFile, SetFilePointer, CreateFileA, EnterCriticalSection, GetSystemTime, GetCurrentThreadId, GetTickCount, IsDBCSLeadByte, GetCPInfo, lstrcmpA, GetThreadLocale, CompareStringA, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, ExpandEnvironmentStringsA, GetFileAttributesA, SetErrorMode, GetFullPathNameA, SearchPathA, GetSystemDirectoryA, SetFileAttributesA, LCMapStringA, FindClose, FindNextFileA, FindFirstFileA, SetFileTime, GetEnvironmentVariableA, CreateEventW, EnumResourceNamesA, EnumResourceNamesW, FindNextFileW, SizeofResource, LockResource, LoadResource, FindResourceA, IsBadReadPtr, IsBadStringPtrW, GlobalUnlock, GlobalFree, GlobalAlloc, GlobalLock, CreateDirectoryA, CreateDirectoryW, CreateFileW, DeleteFileA, DeleteFileW, FindFirstFileW, DebugBreak, FormatMessageA, FormatMessageW, GetCurrentDirectoryA, GetCurrentDirectoryW, GetFileAttributesW, GetLocaleInfoA, GetLocaleInfoW, GetModuleFileNameW, GetSystemDirectoryW, SearchPathW, GetModuleHandleA, GetModuleHandleW, SetFileAttributesW, GetNumberFormatA, GetNumberFormatW, GetFullPathNameW, GetShortPathNameA, GetShortPathNameW, GetStringTypeExA, GetStringTypeExW, GetPrivateProfileIntA, QueryPerformanceFrequency, GetProfileStringA, GetProfileStringW, GetTempFileNameA, GetTempFileNameW, GetTempPathA, GetTempPathW, GetWindowsDirectoryW, GetEnvironmentVariableW, LoadLibraryExA, LoadLibraryExW, CompareStringW, CopyFileA, CopyFileW, MoveFileA, MoveFileW, OpenEventA, OpenEventW, OutputDebugStringA, OutputDebugStringW, RemoveDirectoryA, RemoveDirectoryW, SetCurrentDirectoryA, SetCurrentDirectoryW, CreateMutexA, CreateMutexW, ExpandEnvironmentStringsW, CreateSemaphoreA, CreateSemaphoreW, LoadLibraryW, GetTimeFormatA, GetTimeFormatW, GetDateFormatA, GetDateFormatW, WritePrivateProfileStringA, WritePrivateProfileStringW, GetPrivateProfileStringA, GetPrivateProfileStringW, WritePrivateProfileStructA, WritePrivateProfileStructW, GetPrivateProfileStructA, GetPrivateProfileStructW, CreateProcessA, CreateProcessW, GlobalAddAtomA, GlobalAddAtomW, GlobalFindAtomA, GlobalFindAtomW, lstrcpyA, FreeLibrary, LCMapStringW, FileTimeToSystemTime, SystemTimeToFileTime, GetLocalTime, FileTimeToLocalFileTime, InterlockedIncrement, InterlockedDecrement, CompareFileTime, ReadFile, GetFileSize, TlsSetValue, TlsGetValue, GlobalMemoryStatus, GlobalDeleteAtom, GetProcessVersion, GetComputerNameW, GetCurrentThread, FreeLibraryAndExitThread, CreateThread, VirtualQuery, GetACP, GetUserDefaultLCID, IsBadWritePtr, InterlockedExchange, SetEndOfFile, GetFileInformationByHandle, LocalSize, SleepEx, QueueUserAPC, ExitThread, GetVersionExA, InterlockedCompareExchange, WaitForSingleObject, ReleaseSemaphore, OpenSemaphoreA, HeapDestroy, HeapAlloc, HeapCreate, DeviceIoControl, GetSystemPowerStatus, Sleep, RaiseException, GetPrivateProfileSectionW, WaitForMultipleObjectsEx, GetFileTime, lstrcmpW, QueryPerformanceCounter, lstrcpynA, LoadLibraryA, GetProcAddress, CreateEventA, SetEvent, GetModuleFileNameA, CreateFileMappingA, MapViewOfFile, UnmapViewOfFile, GetCurrentProcessId, OpenProcess, GetCurrentProcess, CloseHandle, DuplicateHandle, lstrcmpiA, lstrlenA, lstrlenW, GetLastError, WideCharToMultiByte, MultiByteToWideChar, LocalReAlloc, LocalAlloc, LocalFree, DisableThreadLibraryCalls, InitializeCriticalSection, TlsAlloc, DeleteCriticalSection, TlsFree, GetPrivateProfileIntW, FindResourceW, GetFileAttributesExW<br>&gt; msvcrt.dll: _adjust_fdiv, malloc, _initterm, free, _strlwr, _wtol, _except_handler3, wcslen, memmove, _vsnwprintf, _vsnprintf<br>&gt; USER32.dll: CreateAcceleratorTableW, CreateDialogIndirectParamA, CreateDialogIndirectParamW, CreateDialogParamA, CreateDialogParamW, DefWindowProcA, DefWindowProcW, DialogBoxIndirectParamA, DialogBoxIndirectParamW, DialogBoxParamA, DialogBoxParamW, DispatchMessageA, DispatchMessageW, GetClassLongW, GetMessageA, GetMessageW, GetWindowLongA, GetWindowLongW, GetWindowTextLengthA, GetWindowTextLengthW, IsDialogMessageA, IsDialogMessageW, LoadAcceleratorsA, LoadAcceleratorsW, LoadBitmapA, LoadBitmapW, LoadCursorA, LoadCursorW, LoadIconA, LoadIconW, CreateIconFromResource, CreateIconFromResourceEx, LookupIconIdFromDirectoryEx, LoadImageA, DeleteMenu, DestroyMenu, SystemParametersInfoA, DrawTextA, CopyRect, OffsetRect, GetSysColor, GetWindowThreadProcessId, IsWindow, TrackPopupMenu, TrackPopupMenuEx, LoadStringW, PeekMessageA, PeekMessageW, PostMessageA, PostMessageW, PostThreadMessageA, PostThreadMessageW, SetWindowLongA, SetWindowLongW, SetWindowsHookExA, SetWindowsHookExW, TranslateAcceleratorA, TranslateAcceleratorW, wvsprintfW, GetMenuItemInfoW, InsertMenuItemA, InsertMenuItemW, DdeInitializeA, DdeInitializeW, CharLowerW, CharToOemA, CharToOemW, CharUpperW, CreateWindowExA, CreateWindowExW, DrawTextW, FindWindowExA, FindWindowExW, GetClassInfoA, GetClassInfoW, GetClassNameW, GetClipboardFormatNameA, GetClipboardFormatNameW, MessageBoxA, MessageBoxW, GetPropA, GetPropW, GetWindowTextW, LoadImageW, CreateMenu, SetMenuContextHelpId, LoadMenuA, LoadMenuW, GetMenuStringA, GetMenuStringW, InsertMenuA, InsertMenuW, MessageBoxIndirectA, MessageBoxIndirectW, ModifyMenuA, ModifyMenuW, OemToCharA, OemToCharW, RegisterClassA, RegisterClassW, RegisterClipboardFormatA, RegisterClipboardFormatW, RegisterWindowMessageA, RegisterWindowMessageW, RemovePropA, RemovePropW, SendMessageTimeoutA, SendMessageW, SetPropA, SetPropW, SetWindowTextW, SystemParametersInfoW, UnregisterClassA, UnregisterClassW, VkKeyScanA, VkKeyScanW, WinHelpW, DrawTextExA, DrawTextExW, SetMenuItemInfoA, SetMenuItemInfoW, RegisterClassExA, RegisterClassExW, GetClassInfoExA, GetClassInfoExW, DdeCreateStringHandleA, DdeCreateStringHandleW, DdeQueryStringA, DdeQueryStringW, FindWindowW, SendDlgItemMessageW, SendMessageTimeoutW, DestroyAcceleratorTable, GetKeyState, SetParent, GetParent, RemoveMenu, GetSubMenu, EnumChildWindows, IsWindowUnicode, EnableMenuItem, CheckMenuItem, DeferWindowPos, MapWindowPoints, SendDlgItemMessageA, SetWindowPos, GetWindowRect, EndDeferWindowPos, BeginDeferWindowPos, EnableWindow, ShowWindow, SetFocus, IsDlgButtonChecked, EndDialog, MsgWaitForMultipleObjects, IsChild, GetMenuDefaultItem, CreatePopupMenu, SetCursor, FindWindowA, EnumWindows, TranslateMessage, UpdateWindow, InvalidateRect, EndPaint, BeginPaint, DrawFocusRect, GetFocus, ValidateRect, EqualRect, GetUpdateRect, GetDesktopWindow, BroadcastSystemMessage, CharNextW, CreateAcceleratorTableA, CopyAcceleratorTableW, CopyAcceleratorTableA, CharUpperBuffW, CharLowerBuffW, CallMsgFilterW, CallMsgFilterA, CallWindowProcW, CallWindowProcA, GetDlgItem, GetClientRect, SendMessageA, SetWindowTextA, CharUpperA, CharPrevA, GetDC, GetIconInfo, DrawIconEx, CreateIconIndirect, ReleaseDC, DestroyIcon, CharNextA, GetClassLongA, SetTimer, KillTimer, GetWindowTextA, GetClassNameA, GetSystemMetrics, GetMenuItemCount, GetMenuItemInfoA, WinHelpA, LoadStringA<br><br>( 314 exports ) <br>AssocCreate, AssocGetPerceivedType, AssocIsDangerous, AssocQueryKeyA, AssocQueryKeyW, AssocQueryStringA, AssocQueryStringByKeyA, AssocQueryStringByKeyW, AssocQueryStringW, ChrCmpIA, ChrCmpIW, ColorAdjustLuma, ColorHLSToRGB, ColorRGBToHLS, DelayLoadFailureHook, DllGetVersion, GetAcceptLanguagesA, GetAcceptLanguagesW, GetMenuPosFromID, HashData, IntlStrEqWorkerA, IntlStrEqWorkerW, IsCharSpaceA, IsCharSpaceW, PathAddBackslashA, PathAddBackslashW, PathAddExtensionA, PathAddExtensionW, PathAppendA, PathAppendW, PathBuildRootA, PathBuildRootW, PathCanonicalizeA, PathCanonicalizeW, PathCombineA, PathCombineW, PathCommonPrefixA, PathCommonPrefixW, PathCompactPathA, PathCompactPathExA, PathCompactPathExW, PathCompactPathW, PathCreateFromUrlA, PathCreateFromUrlW, PathFileExistsA, PathFileExistsW, PathFindExtensionA, PathFindExtensionW, PathFindFileNameA, PathFindFileNameW, PathFindNextComponentA, PathFindNextComponentW, PathFindOnPathA, PathFindOnPathW, PathFindSuffixArrayA, PathFindSuffixArrayW, PathGetArgsA, PathGetArgsW, PathGetCharTypeA, PathGetCharTypeW, PathGetDriveNumberA, PathGetDriveNumberW, PathIsContentTypeA, PathIsContentTypeW, PathIsDirectoryA, PathIsDirectoryEmptyA, PathIsDirectoryEmptyW, PathIsDirectoryW, PathIsFileSpecA, PathIsFileSpecW, PathIsLFNFileSpecA, PathIsLFNFileSpecW, PathIsNetworkPathA, PathIsNetworkPathW, PathIsPrefixA, PathIsPrefixW, PathIsRelativeA, PathIsRelativeW, PathIsRootA, PathIsRootW, PathIsSameRootA, PathIsSameRootW, PathIsSystemFolderA, PathIsSystemFolderW, PathIsUNCA, PathIsUNCServerA, PathIsUNCServerShareA, PathIsUNCServerShareW, PathIsUNCServerW, PathIsUNCW, PathIsURLA, PathIsURLW, PathMakePrettyA, PathMakePrettyW, PathMakeSystemFolderA, PathMakeSystemFolderW, PathMatchSpecA, PathMatchSpecW, PathParseIconLocationA, PathParseIconLocationW, PathQuoteSpacesA, PathQuoteSpacesW, PathRelativePathToA, PathRelativePathToW, PathRemoveArgsA, PathRemoveArgsW, PathRemoveBackslashA, PathRemoveBackslashW, PathRemoveBlanksA, PathRemoveBlanksW, PathRemoveExtensionA, PathRemoveExtensionW, PathRemoveFileSpecA, PathRemoveFileSpecW, PathRenameExtensionA, PathRenameExtensionW, PathSearchAndQualifyA, PathSearchAndQualifyW, PathSetDlgItemPathA, PathSetDlgItemPathW, PathSkipRootA, PathSkipRootW, PathStripPathA, PathStripPathW, PathStripToRootA, PathStripToRootW, PathUnExpandEnvStringsA, PathUnExpandEnvStringsW, PathUndecorateA, PathUndecorateW, PathUnmakeSystemFolderA, PathUnmakeSystemFolderW, PathUnquoteSpacesA, PathUnquoteSpacesW, SHAllocShared, SHAutoComplete, SHCopyKeyA, SHCopyKeyW, SHCreateShellPalette, SHCreateStreamOnFileA, SHCreateStreamOnFileEx, SHCreateStreamOnFileW, SHCreateStreamWrapper, SHCreateThread, SHCreateThreadRef, SHDeleteEmptyKeyA, SHDeleteEmptyKeyW, SHDeleteKeyA, SHDeleteKeyW, SHDeleteOrphanKeyA, SHDeleteOrphanKeyW, SHDeleteValueA, SHDeleteValueW, SHEnumKeyExA, SHEnumKeyExW, SHEnumValueA, SHEnumValueW, SHFreeShared, SHGetInverseCMAP, SHGetThreadRef, SHGetValueA, SHGetValueW, SHGetViewStatePropertyBag, SHIsLowMemoryMachine, SHLoadIndirectString, SHLockShared, SHOpenRegStream2A, SHOpenRegStream2W, SHOpenRegStreamA, SHOpenRegStreamW, SHQueryInfoKeyA, SHQueryInfoKeyW, SHQueryValueExA, SHQueryValueExW, SHRegCloseUSKey, SHRegCreateUSKeyA, SHRegCreateUSKeyW, SHRegDeleteEmptyUSKeyA, SHRegDeleteEmptyUSKeyW, SHRegDeleteUSValueA, SHRegDeleteUSValueW, SHRegDuplicateHKey, SHRegEnumUSKeyA, SHRegEnumUSKeyW, SHRegEnumUSValueA, SHRegEnumUSValueW, SHRegGetBoolUSValueA, SHRegGetBoolUSValueW, SHRegGetPathA, SHRegGetPathW, SHRegGetUSValueA, SHRegGetUSValueW, SHRegGetValueA, SHRegGetValueW, SHRegOpenUSKeyA, SHRegOpenUSKeyW, SHRegQueryInfoUSKeyA, SHRegQueryInfoUSKeyW, SHRegQueryUSValueA, SHRegQueryUSValueW, SHRegSetPathA, SHRegSetPathW, SHRegSetUSValueA, SHRegSetUSValueW, SHRegWriteUSValueA, SHRegWriteUSValueW, SHRegisterValidateTemplate, SHReleaseThreadRef, SHSetThreadRef, SHSetValueA, SHSetValueW, SHSkipJunction, SHStrDupA, SHStrDupW, SHUnlockShared, StrCSpnA, StrCSpnIA, StrCSpnIW, StrCSpnW, StrCatBuffA, StrCatBuffW, StrCatChainW, StrCatW, StrChrA, StrChrIA, StrChrIW, StrChrNIW, StrChrNW, StrChrW, StrCmpCA, StrCmpCW, StrCmpICA, StrCmpICW, StrCmpIW, StrCmpLogicalW, StrCmpNA, StrCmpNIA, StrCmpNIW, StrCmpNW, StrCmpW, StrCpyNW, StrCpyW, StrDupA, StrDupW, StrFormatByteSize64A, StrFormatByteSizeA, StrFormatByteSizeW, StrFormatKBSizeA, StrFormatKBSizeW, StrFromTimeIntervalA, StrFromTimeIntervalW, StrIsIntlEqualA, StrIsIntlEqualW, StrNCatA, StrNCatW, StrPBrkA, StrPBrkW, StrRChrA, StrRChrIA, StrRChrIW, StrRChrW, StrRStrIA, StrRStrIW, StrRetToBSTR, StrRetToBufA, StrRetToBufW, StrRetToStrA, StrRetToStrW, StrSpnA, StrSpnW, StrStrA, StrStrIA, StrStrIW, StrStrNIW, StrStrNW, StrStrW, StrToInt64ExA, StrToInt64ExW, StrToIntA, StrToIntExA, StrToIntExW, StrToIntW, StrTrimA, StrTrimW, UrlApplySchemeA, UrlApplySchemeW, UrlCanonicalizeA, UrlCanonicalizeW, UrlCombineA, UrlCombineW, UrlCompareA, UrlCompareW, UrlCreateFromPathA, UrlCreateFromPathW, UrlEscapeA, UrlEscapeW, UrlGetLocationA, UrlGetLocationW, UrlGetPartA, UrlGetPartW, UrlHashA, UrlHashW, UrlIsA, UrlIsNoHistoryA, UrlIsNoHistoryW, UrlIsOpaqueA, UrlIsOpaqueW, UrlIsW, UrlUnescapeA, UrlUnescapeW, wnsprintfA, wnsprintfW, wvnsprintfA, wvnsprintfW<br>



RHCGMCJ0ER3V.EXE-2BF3198C.pf



Motor antivirus;Versión;Última actualización;Resultado
AhnLab-V3;2008.7.17.0;2008.07.16;-
AntiVir;7.8.0.68;2008.07.16;-
Authentium;5.1.0.4;2008.07.15;-
Avast;4.8.1195.0;2008.07.16;-
AVG;7.5.0.516;2008.07.16;-
BitDefender;7.2;2008.07.16;-
CAT-QuickHeal;9.50;2008.07.16;-
ClamAV;0.93.1;2008.07.16;-
DrWeb;4.44.0.09170;2008.07.16;-
eSafe;7.0.17.0;2008.07.16;-
eTrust-Vet;31.6.5959;2008.07.16;-
Ewido;4.0;2008.07.16;-
F-Prot;4.4.4.56;2008.07.15;-
F-Secure;7.60.13501.0;2008.07.16;-
Fortinet;3.14.0.0;2008.07.16;-
GData;2.0.7306.1023;2008.07.16;-
Ikarus;T3.1.1.26.0;2008.07.16;-
Kaspersky;7.0.0.125;2008.07.16;-
McAfee;5340;2008.07.16;-
Microsoft;1.3704;2008.07.16;-
NOD32v2;3274;2008.07.16;-
Norman;5.80.02;2008.07.16;-
Panda;9.0.0.4;2008.07.16;-
Prevx1;V2;2008.07.16;-
Rising;20.53.22.00;2008.07.16;-
Sophos;4.31.0;2008.07.16;-
Sunbelt;3.1.1536.1;2008.07.15;-
Symantec;10;2008.07.16;-
TheHacker;6.2.96.381;2008.07.16;-
TrendMicro;8.700.0.1004;2008.07.16;-
VBA32;3.12.8.0;2008.07.16;-
VirusBuster;4.5.11.0;2008.07.16;-
Webwasher-Gateway;6.6.2;2008.07.16;-

Información adicional
Tamano archivo: 56220 bytes
MD5...: a5befa03dc5baa89ead5985cc968dec9
SHA1..: 9c4e966144cd668ec8f9cc9e42aa3d0b1fa64ad7
SHA256: a1676d8f3ae6e65514a94737bb7048617dd110dbcd59c59c0e 44324aac54daa0
SHA512: af23885e18cd9d5d88c73705054c0311454640277576f65cdd b639294b19b7b7<br>0edf173c8a8b3ed156caaccadcfb110d 3bba881977379da5eee5a360ff438f35
PEiD..: -
PEInfo: -


Gracias de nuevo!

Hola.

Como vez los archivos; shlwapi.dll y RHCGMCJ0ER3V.EXE-2BF3198C.pf no son ninguna amenaza para tu equipo.

Dinos si se puede considerar el tema como solucionado o si hay otra cosa.

Saludos.