Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola, soy muy nuevo en esto como será que ni siquiera sé como hacen el "log" o el escaneo , no se como se llama. Donde salen los detalles de los archivos, etc. Mi problema es que tengo un troyano como se ve a continuación:

Hora Módulo Objeto Nombre Amenaza Acción predeterminada Usuario Información general del sistema
29/07/2008 20:27:51 AMON Archivo C:\WINDOWS\System32\drivers\Aio05.sys Win32/Wigon (Troyano) Puesto en cuarentena - Eliminado DESKTOP\Administrador Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\688.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
29/07/2008 18:56:23 AMON Archivo C:\WINDOWS\System32\drivers\Ovc85.sys Win32/Wigon (Troyano) Puesto en cuarentena - Eliminado Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\594.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
29/07/2008 1206 AMON Archivo C:\WINDOWS\System32\drivers\Mub41.sys Win32/Wigon (Troyano) Puesto en cuarentena - Eliminado Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\302.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
29/07/2008 2:25:53 AMON Archivo C:\WINDOWS\System32\drivers\Pxe17.sys Win32/Wigon (Troyano) Puesto en cuarentena - Eliminado Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\342.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
29/07/2008 2:19:03 AMON Archivo C:\WINDOWS\SYSTEM32\drivers\lta51.sys Win32/Wigon (Troyano) Eliminado (después del próximo reinicio) NT AUTHORITY\SYSTEM Suceso ocurrido cuando se produjo un intento de acceso al archivo por la aplicación C:\Archivos de programa\Spyware Doctor\pctsSvc.exe.
29/07/2008 1:57:29 AMON Archivo C:\WINDOWS\system32\drivers\Lta51.sys Win32/Wigon (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido en un archivo modificado El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
29/07/2008 1:57:16 AMON Archivo C:\WINDOWS\system32\drivers\Lta51.sys Win32/Wigon (Troyano) Puesto en cuarentena - Eliminado Suceso ocurrido en un archivo modificado El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
29/07/2008 1:41:32 AMON Archivo C:\WINDOWS\system32\drivers\Lta51.sys Win32/Wigon (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido en un archivo modificado El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
29/07/2008 1:40:50 AMON Archivo C:\WINDOWS\system32\drivers\Lta51.sys Win32/Wigon (Troyano) Puesto en cuarentena - Eliminado Suceso ocurrido en un archivo modificado El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
29/07/2008 0:47:26 AMON Archivo C:\WINDOWS\system32\drivers\Lta51.sys Win32/Wigon (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana...

Y asi sucesivamente. Siempre sale. Lo elimine con Spywares: el doctor, el ad-ware, con el mismo NOD, pero siempre está. La máquina se me congela, tengo 3mb de internet pero si llego a 256kb ando con suerte. Los de Speedy me dijeron que la baja velocidad es porque causa del virus, que la lleve a un tecnico pero quisiera aprender a hacerlo yo. Se podrá? Espero ayuda y ruego paciencia. Me gustaria aprender y llegar algún dia, poder ayudar. Gracias, un abrazo!

Hola wm0023 Bienvenido al Foro

El reporte del nod32 que muestras indica que este a removido las infecciones detectadas.

Puedes hacer lo siguiente para asegurarnos de que no quede nada raro en tu pc que el nod32 no haya detectado


Descarga, Instala y/o actualiza Malwarebytes' Anti-Malware <---instalalo y actualizalo pero no lo ejecutes todavia.
NOTA: Si despues de instalarlo el lenguaje esta en Ingles ve a la pestaña "Settings" y lo cambias a Español.

Inicia en Modo a Prueba de Fallos

Ejecuta Malwarebytes' Anti-Malware <---- realiza un escaneo completo del PC y si este te detecta alguna infección después de terminar de hacer el escanner selecciona la opción de "Quitar lo Seleccionado" y guardas el reporte para que lo pegues aquí. El reporte queda guardado en la pestaña "Logs" o "Registros" en español, abres el reporte y copias el contenido para pegarlo en este tema.

Inicia en modo normal y hazte un scanner con Kaspersky Online y pegas el reporte de malwarebytes y el del kaspersky online acá

Salu2

Hola! Bueno, hice los pasos tal cual:

Malwarebytes' Anti-Malware 1.24
Versión de la Base de Datos: 1012
Windows 5.1.2600 Service Pack 2

0:59:29 31/07/2008
mbam-log-7-31-2008 (00-59-29).txt

Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 96513
Tiempo transcurrido: 11 minute(s), 12 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 1
Carpetas Infectadas: 0
Ficheros Infectados: 1

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
C:\System Volume Information\_restore{3F651486-77B8-4248-936E-B80135BB2974}\RP39\A0020222.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

KASPERSKY ONLINE SCANNER INFORME
jueves, 31 de julio de 2008 3:15:21
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 31/07/2008
Registros en la base antivirus: 916900


Configuración del análisis
Analizar usando las siguientes bases standard
Analizar archivos verdadero
Analizar bases de correo verdadero

Objetivo a analizar Mi PC
A:\
C:\
D:\
E:\

Estadísticas
Número de objeros analizados 63800
Virus encontrados 1
Objetos infectados 0 / 0
Objetos sospechosos 3
Duración del análisis 01:06:28

Bombre del objeto infectado Nombre del virus Última acción
C:\Archivos de programa\Eset\cache\CACHE.NDB Object is locked saltado

C:\Archivos de programa\Eset\logs\virlog.dat Object is locked saltado

C:\Archivos de programa\Eset\logs\warnlog.dat Object is locked saltado

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\access_log Object is locked saltado

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\error.log Object is locked saltado

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\error_log Object is locked saltado

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\ssl_request_log Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\MSHist0120080731200808 01\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Temp\~DF2480.tmp Object is locked saltado

C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\ntuser.dat Object is locked saltado

C:\Documents and Settings\Administrador\NTUSER.DAT.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT.LOG Object is locked saltado

C:\GAMES\EDOYUGI\main.exe Sospechosos: Packed.Win32.PePatch.dk saltado

C:\main.exe Sospechosos: Packed.Win32.PePatch.dk saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{3F651486-77B8-4248-936E-B80135BB2974}\RP39\A0022250.exe Sospechosos: Packed.Win32.PePatch.dk saltado

C:\System Volume Information\_restore{3F651486-77B8-4248-936E-B80135BB2974}\RP39\change.log Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

Análisis completado.

Espero que sirva. Otra cosa, pongo esta captura luego de hacer el analisis con el Malwarebytes' Anti-Malware. Luego de hacerlo y reiniciar en modo normal me aparecio nuevamente la ventana del NOD diciendo codigo malisioso,el maldito Wigon nuevamente. Espero ayuda. Un abrazo!

La imagen salio muy mala. Borrosa.

Hola wm0023

Descargate OTMoveIt2 lo guardas en el Escritorio.

• Haz un doble clic sobre OTMoveIt.exe para ejecutarlo.
• Asegurate que este marcado "Unregister Dll's and Ocx's".
• Copia el texto que se encuentra en el cuadrado más abajo, y pega el texto en el marco de izquierdo de OTMoveIt2 nombrado Paste Standard List of Files / Folders to Move.

• Haz clic en MoveIt! Para lanzar la supresión.
• Cuando el resultado aparece en el marco Results, hace clic en Exit.
• Reinicia el PC (Este paso es muy importante).

Envía el informe (reporte) de OTMoveIt2 situado sobre C: \ _ OTMoveIt2\MovedFiles.


Luego realiza los siguientes pasos:

Descarga SDFix.

Inicias en modo a prueba de fallos .

Ejecuta SDFix.exe en el escritorio, se creará una nueva carpeta en el escritorio(si no es asi buscas dicha carpeta en la unidad c:), entra en la nueva carpeta y ejecuta el archivo "Runthis.bat" luego, presiona la tecla "Y" para que comience el scan, al terminar, se creará un archivo dentro de la carpeta llamado Report.txt, copia y pega el reporte que te genero la utilidad.

Reinicias en modo normal y realizas un escaneo con Eset Online y pegas el reporte acá del OTmoveit2, SDFix y el de Eset Online

Salu2

Segui los pasos pero me equivoque en algo cuando termine de escanear con el Eset.

C:\GAMES\EDOYUGI\main.exe moved successfully.
C:\main.exe moved successfully.
C:\System Volume Information\_restore{3F651486-77B8-4248-936E-B80135BB2974}\RP39\A0022250.exe moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08032008_155152



SDFix: Version 1.211
Run by Administrador on 03/08/2008 at 16:21

Microsoft Windows XP [Versi¢n 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File
Restoring Missing Security Center Service

Rebooting


Checking Files :

Trojan Files Found:

C:\wmisrv.exe - Deleted
C:\WINDOWS\system32\nvrsul32.dll - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-03 16:26:57
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s ptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:a2,19,83,f3,a3,5f,57,ce,14,6f,04,ef,f8 ,cf,5d,2d,07,62,ea,bb,77,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:a2,19,83,f3,a3,5f,57,ce,14,6f,04,ef,f8 ,cf,5d,2d,07,62,ea,bb,77,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s ptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:a2,19,83,f3,a3,5f,57,ce,14,6f,04,ef,f8 ,cf,5d,2d,07,62,ea,bb,77,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\System]
"OODEFRAG10.00.00.01WORKSTATION"="23B446B54EA38D74 E3C19FDE1757C5770755F7ABA6F29A7072E0F524E53089EC68 DC021F2718ECF58934009037DC7D89EAFC1A277776E45FFEBC 9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E 127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC49 80AC79339DB7CE019D40AA5C5D575E7D6A3B9808A6171C11EC 38DE3D2CAC7DB6E28007C0ABE428BB39FA2A13BF5F29C47EFE 36652D848DB5DE8E9D75007B0A966518DDF5A3DE3BB41D9E89 E385CA8C153F297192513C1AB1EF8B539E3239AC0C0FF79E20 ACD3458D16E6C6B401EDBA37874824D8A75E5B22E788681053 D533D2D3E51EDD88224DD39B16BF8AC4358F2DEDB9D6C2B205 2B9E9E9E2EF8F5371036EB571623FB9BFAA9E21F373FE4FD10 0ECE8EF22E79BB83D3AF9CD7DB32345518D3F823B850079D46 6DABD2FDFB9B6186458C49CC858184027A06008FA41CBE6ECA A9C639D01EA6F2F8971D48A856D0D436AD0D23E6CCF37CA08F A0BDEB30A642557D6895CF0EAC8D0CF285738B674ACCC49E54 8D3083372D0B261C67ABA2102FBBBB4E8F207AE8896F82DCA7 C9FEE3D45E419C37F602DA8E63E5B55D8B9F9E680BE027C19B F7B96CB1405AE00E4052682FAAC3A3551990B01A231647B742 9BB2121A06951E112051A1D619F10641719729A50E28EC8C2B BA6163C99E5F9C7367654D5D4C8944C3E45627167D628D3F85 84AE226D5D9321E2B06241B436B3B7F35E1208F842836DEBA7 C6B47DD8245FE7B8788BF34F5B90F4440DD02A73FE9D581631 4404AFB3893A347DBABD2578198C05E63A8A6B833852998630 7754ECFC2CEFAC33A8BE30AC3B5B4753E002F0D5D06C948158 E29F7CEEF425FC6517DED4178E3858F5E0468B6D43568CD9B3 69262935CD1857E538E4D25C74B6930029C256DA391FD10B38 80E2D58DD772FD30BB1CE6169AD32C481D1A1C32C27556950E BB7F4DD4F1B5BB8841BE068DC6AA886E45D2A10772F1C275F6 425068D0E5DE9EAB6EC2A962DB7B46436F0DE6C888A8395389 D941267208E1AAA3F6D3427EB882A15A1E34048015FE379EA0 023CE83DB90AE15D123A7272F98F55FE97B6F2C7E8283C16EC 8A271B1D00C279E1B9A0E3B442F4FCA24C39CCF99135F7A570 1C232962CF16B17CD812AF931CFBECAF8A308E64A1BD04CD11 574130DEA4D788D5593984163EC33621F666FB29476D5C82A9 D4700A5A290447C75501387A6A687E6C3858D2E1C868113497 56302A11566C4A347B143F688AAEC3DB2BE7247C4E794F65BB 0D88C9163F2E3FD63AAA6C05AB81812BE98EFE4D9F68A2EAD7 8194CDAFEBA79E926DB516C13AF7C29580F2A72C32B2BA7A1E 0B8EF3469791B824994E0D1F868772015B96362207F4519880 CB5AB4E27A777690E38960D003FDD15889003BAF0F81E57194 BD2550DAC313D4D8A753D04DD6D5F638"

scanning hidden files ...

C:\Documents and Settings\Administrador\Mis documentos\Marcelo\Nueva carp\Thumbs.dn\com1.{d3e34b21-9d75-101a-8c3d-00aa001a1652}\úø .\LastF\Marceelo\Mios\2005-11 (Nov)\Thumbs.db:encryptable 0 bytes hidden from API
C:\Documents and Settings\Administrador\Mis documentos\Marcelo\Nueva carp\Thumbs.dn\com1.{d3e34b21-9d75-101a-8c3d-00aa001a1652}\úø .\LastF\Marceelo\Mios\fotitos\Thumbs.db:encryptabl e 0 bytes hidden from API
C:\Documents and Settings\Administrador\Mis documentos\Marcelo\Nueva carp\Thumbs.dn\com1.{d3e34b21-9d75-101a-8c3d-00aa001a1652}\úø .\LastF\Marceelo\Mios\Juegos_Yetis\Thumbs.db:encry ptable 0 bytes hidden from API
C:\Documents and Settings\Administrador\Mis documentos\Marcelo\Nueva carp\Thumbs.dn\com1.{d3e34b21-9d75-101a-8c3d-00aa001a1652}\úø .\LastF\Marceelo\Mios\Rock Nacional - Vol. 1\Thumbs.db:encryptable 0 bytes hidden from API
C:\Documents and Settings\Administrador\Mis documentos\Marcelo\Nueva carp\Thumbs.dn\com1.{d3e34b21-9d75-101a-8c3d-00aa001a1652}\úø .\LastF\Marceelo\Mios\sex\Thumbs.db:encryptable 0 bytes hidden from API
C:\Documents and Settings\Administrador\Mis documentos\Marcelo\Nueva carp\Thumbs.dn\com1.{d3e34b21-9d75-101a-8c3d-00aa001a1652}\úø .\LastF\Marceelo\Mios\Thumbs.db:encryptable 0 bytes hidden from API
C:\Documents and Settings\Administrador\Mis documentos\Marcelo\Nueva carp\Thumbs.dn\com1.{d3e34b21-9d75-101a-8c3d-00aa001a1652}\úø .\LastF\Marceelo\Thumbs.db:encryptable 0 bytes hidden from API
C:\Documents and Settings\Administrador\Mis documentos\Marcelo\Nueva carp\Thumbs.dn\com1.{d3e34b21-9d75-101a-8c3d-00aa001a1652}\úø .\LastF\Marceelo\Thumbs.db_34:encryptable 0 bytes hidden from API
C:\Documents and Settings\Administrador\Mis documentos\Marcelo\Nueva carp\Thumbs.dn\com1.{d3e34b21-9d75-101a-8c3d-00aa001a1652}\úø .\LastF\Marceelo\Thumbs.db_6:encryptable 0 bytes hidden from API
C:\Documents and Settings\Administrador\Mis documentos\Marcelo\Nueva carp\Thumbs.dn\com1.{d3e34b21-9d75-101a-8c3d-00aa001a1652}\úø .\LastF\Thumbs.db:encryptable 0 bytes hidden from API

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 10


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Archivos de programa\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"="C:\\Archivos de programa\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe:*:Enabled:Apache HTTP Server"
"C:\\Archivos de programa\\uTorrent\\utorrent.exe"="C:\\Archivos de programa\\uTorrent\\utorrent.exe:*:Enabled:æTorren t"
"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"="C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe:*:Disabled:@xpsp3res.dll ,-20000"
"C:\\Archivos de programa\\softnyx\\GunboundWC\\NyxLauncher.exe"="C :\\Archivos de programa\\softnyx\\GunboundWC\\NyxLauncher.exe:*:E nabled:Softnyx Game Launcher"
"C:\\Archivos de programa\\softnyx\\GunboundWC\\GunBound.gme"="C:\\ Archivos de programa\\softnyx\\GunboundWC\\GunBound.gme:*:Enab led:GunBound"
"C:\\Archivos de programa\\softnyx\\RakionLS\\Bin\\rakion.bin"="C:\ \Archivos de programa\\softnyx\\RakionLS\\Bin\\rakion.bin:*:Ena bled:rakion"
"C:\\Archivos de programa\\softnyx\\RakionLS\\NyxLauncher.exe"="C:\ \Archivos de programa\\softnyx\\RakionLS\\NyxLauncher.exe:*:Ena bled:Softnyx Game Launcher"
"C:\\Archivos de programa\\eMule\\emule.exe"="C:\\Archivos de programa\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Archivos de programa\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"="C:\\Archivos de programa\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe:*:Enabled:EasyShare"
"C:\\Archivos de programa\\Ares\\Ares.exe"="C:\\Archivos de programa\\Ares\\Ares.exe:*:Enabled:Ares p2p for windows"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\domainpr ofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Wed 21 May 2008 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Finished!

Bueno, el error que cometí con el Eset fué que encontró 3 cosas, pero por error cerre la ventana y no pude volver a abrir el resultado, por el cual volví a analizar pero en esta no encontró nada. En vez de ayudar lo complico. Espero que esto sirva. Un abrazo!

Hola wm0023

El SDFix elimino 2 archivos de malwares de tu pc, así que ya puedes eliminar el SDFix de tu pc y ahora hazte lo siguiente:


Hazte un scanner con Eset Online y pegas los reportes acá

Aun sigues teniendo el mismo problema con el Win32/Wigon ??

Salu2

Espectacular! El Wigon no dió signos de vida pero algo pasa cuando quiero abrir una segunda pestaña del explorador. Aparece un cuadro de dialogo de Advertencia de seguridad de descarga de archivos, ¿Desea guardar este archivo?Nombre: navcancl. Tipo: tipo de archivo desconocido, 2,68kb. De: ieframe.dll
No tengo idea el porque sale este cuadro.
Bueno, acá te dejo el último del eset y realmente muchas gracias por tu sabiduria, dedicación y paciencia. El que sabe, sabe



# version=4
# OnlineScanner.ocx=1.0.0.635
# OnlineScannerDLLA.dll=1, 0, 0, 79
# OnlineScannerDLLW.dll=1, 0, 0, 78
# OnlineScannerUninstaller.exe=1, 0, 0, 49
# vers_standard_module=3326 (20080804)
# vers_arch_module=1.064 (20080214)
# vers_adv_heur_module=1.066 (20070917)
# EOSSerial=7289600b48dd81418a0d4a66d96405ed
# end=finished
# remove_checked=true
# unwanted_checked=true
# utc_time=2008-08-04 11:36:43
# local_time=2008-08-04 08:36:43 (-0300, Hora est. de Sudamérica E.)
# country="Spain"
# osver=5.1.2600 NT Service Pack 2
# scanned=303041
# found=0
# scan_time=2062
# nod_component=NOD32MOD_WINNT_SPANISH_BASE Build:0x11081627 (NOD32 para Windows NT/2000/XP/2003/Vista/x64 - Base)
# nod_component=NOD32MOD_WINNT_SPANISH_INET Build:0x11081627 (NOD32 para Windows NT/2000/XP/2003/Vista/x64 - Soporte para Internet)
# nod_component=NOD32MOD_WINNT_SPANISH_STANDARD Build:0x11081627 (NOD32 para Windows NT/2000/XP/2003/Vista/x64 - Componentes comunes)

Hola wm0023

Ese cuadro de seguridad del que hablas parece ser un problema del IE.

Pásate por windows update y descarga los parches de seguridad que te hagan falta y luego te haces lo siguiente:

Descarga Ccleaner + Manual y usalo primero en modo Limpiador para limpiar cookies y temporales de internet y luego en modo Registro (haciendo copia de seguridad como lo indica el manual).

Descarga y ejecuta Advanced WindowsCare v2 >>> Manual para optimizar tu pc al máximo.

Actualiza el java.

Salu2

Listo. Solo el Advanced WindowsCare v2 se me queda colgado cerca de 1 hora en optimización del sistema. Pero todo bien. La maquina no se cuelga, el Wigon desapareció, todo anda muy flexible. Realmente muchas gracias, y se que voy a volver a molestar
Un abrazo!