Apenas entiendo de informática, por lo que se me ha metido un bicho, el antivirus xp 2008. Al principio me aparecia un mensaje de windows en peligro por privacy remover m64 y virtumonde. Mi primera intención fue desinstalar, pero no consegui nada. Después encontré el malwarebytes y se lo pasé pero ahí seguía. Mas tarde hijackthis, malwarebytes, combofix, ccleaner, delpsguard, dr. webcure it...en fin... ahora estoy pasando kaspersky, y no se si muy bien, pero el caso es que cada vez que se inicia la computadora aparece esa maldita ventana de antivirus xp 2008 con sus pestañas de registro y soporte, sus botones, sus ventanas de alerta... los globos de la barra, sus mensajes de update...He dormido poquísimo y ya no sé si la única solución es formatear porque no hay manera de echarlo ¿alguien me dice un método, a ser posible, infalible? tengo desactivado el antivirus avg y cada vez que inicio ie me cancela la busqueda de paginas para ponerme que por seguridad no debo navegar...vamos que para no tener ni idea de informática ya no sé si encima empeoré las cosas...Necesito ayuda

Hola, te doy la bienvenida al Foro

Descarga las siguientes herramientas:

• MalwareBytes’ Anti-Malware
• CCleaner.
• DelPSGuard

1. Desactiva Restaurar Sistema (Si esta opción no se puede ejecutar, omita el paso)

2. Reinicia en Modo Seguro (Si esta opción se encuentra bloqueda/dañada, omita el paso)

3. Ejecuta CCleaner, usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

4. Ejecuta DelPSGuard

5. Ejecuta Malwarebytes' Anti-Malware (Es importante que seleccionar escaneo completo y la opción de quitar lo encontrado)


Ahora, reinicia en Modo Normal, y haz lo siguiente

- Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje, junto con el de Malwarebytes' Anti-Malware y DelPSGuard.

*Nota: Es importante que sigas los pasos tal cual se detallan, para mayor comodidad, puedes imprimirlos

Saludos

hola Salba, gracias por la ayuda pero no ha mejorado la situación. El único paso que no he seguido en orden es desactivar temporalmente el antivirus, que ya lo tenía desde el principio porque como expuse en el primer mensaje ya había efectuado esas operaciones antes. no obstante he seguido el orden de lo demás y cada vez que he reiniciado el equipo en modo normal e incluso mientras trabajaba combofix me sigue apareciendo la ventana del antivirus, iniciando un escaneo. despues me salen dos ventanitas con los siguientes mensajes: "antivirus xp 2008 has found 2857 threats. it is recomended to proceed with removal" y "update finished. 1 update downloaded. please restart antivirus xp 2008". Cuando acabó combofix y antes de reiniciar para hacer el reporte tambien apareció un mensaje creo que asi: "error inicialización del DLL" no me dio tiempo a tomar nota. En el DelPSGuard también hay que hacer la parte de restaurar archivo HOST? yo no la he hecho. y cuando dices limpiar registro en ccleaner las he reparado y no sé si es lo mismo. En fin los reportes son los siguientes:

Informe DelPSGuard:
DelPSGuard v 4.9.8
by www.ForoSpyware.com
Reporte Creado: 16:16:11.95, 2008-09-19
SO: Microsoft Windows XP [Versi¢n 5.1.2600]
Modo de Inicio: Seguro
_________________________________________


»»»»»»»»»»»» Carpetas y Archivos infectados »»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»» Programas Malwares »»»»»»»»»»»»»»»»»



»»»»»»»»»»»»»»»»»»» FIN »»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»» FIN »»»»»»»»»»»»»»»»»»»


DelPSGuard v 4.9.8
by www.ForoSpyware.com
Reporte Creado: 16:16:11.95, 2008-09-19
SO: Microsoft Windows XP [Versi¢n 5.1.2600]
Modo de Inicio: Seguro
_________________________________________


»»»»»»»»»»»» Carpetas y Archivos infectados »»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»» Programas Malwares »»»»»»»»»»»»»»»»»



»»»»»»»»»»»»»»»»»»» FIN »»»»»»»»»»»»»»»»»»»

Informe Malwarebytes:

Malwarebytes' Anti-Malware 1.28
Versión de la Base de Datos: 1169
Windows 5.1.2600 Service Pack 2

2008-09-19 16:55:18
mbam-log-2008-09-19 (16-55-18).txt

Tipo de examen : Examen Completo (C:\|D:\|)
Objetos examinados: 134938
Tiempo transcurrido: 29 minute(s), 54 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 1
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 11
Ficheros Infectados: 1

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SOFTWARE\rhcl37j0evbl (Rogue.Multiple) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl\Quarantine\Autorun\HKCU\RunO nce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl\Quarantine\Autorun\HKLM\RunO nce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl\Quarantine\Autorun\StartMenu AllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl\Quarantine\Autorun\StartMenu CurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Ficheros Infectados:
C:\WINDOWS\system32\pphcg37j0evbl.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Informe combofix:

ComboFix 08-09-16.05 - Usuario 2008-09-19 17:00:53.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.3082.18.1526 [GMT 2:00]
Se ejecuta desde: C:\Documents and Settings\Usuario\Escritorio\ComboFix.exe

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl
C:\WINDOWS\system32\pphcg37j0evbl.exe
.
---- Previous Run -------
.
C:\Documents and Settings\All Users\Menú Inicio\Programas\Antivirus XP 2008
C:\Documents and Settings\All Users\Menú Inicio\Programas\Antivirus XP 2008.lnk
C:\Documents and Settings\All Users\Menú Inicio\Programas\Antivirus XP 2008\Antivirus XP 2008.lnk
C:\Documents and Settings\All Users\Menú Inicio\Programas\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk
C:\Documents and Settings\All Users\Menú Inicio\Programas\Antivirus XP 2008\License Agreement.lnk
C:\Documents and Settings\All Users\Menú Inicio\Programas\Antivirus XP 2008\Register Antivirus XP 2008.lnk
C:\Documents and Settings\All Users\Menú Inicio\Programas\Antivirus XP 2008\Uninstall.lnk
C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl
C:\WINDOWS\system32\9.tmp
C:\WINDOWS\system32\AutoRun.inf
C:\WINDOWS\system32\pphcg37j0evbl.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV
-------\Service_TDSSserv


(((((((((((((((((( Archivos creados desde 2008-08-19 - 2008-09-19 )))))))))))))))))))))))))))))))))
.

2008-09-19 17:06 . 2008-09-19 17:06 <DIR> d-------- C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl
2008-09-19 02:43 . 2008-09-19 02:43 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-09-19 02:39 . 2008-09-19 10:49 106,496 --a------ C:\WINDOWS\system32\BFA.tmp
2008-09-19 02:39 . 2008-09-19 11:48 106,496 --a------ C:\WINDOWS\system32\345E.tmp
2008-09-19 02:26 . 2008-09-19 02:26 <DIR> d-------- C:\Documents and Settings\Usuario\DoctorWeb
2008-09-19 01:44 . 2008-09-19 16:16 <DIR> d-------- C:\Archivos de programa\DelPSGuard
2008-09-19 00:09 . 2008-09-19 00:09 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-09-18 19:15 . 2008-09-18 19:15 <DIR> d-------- C:\Documents and Settings\Usuario\Datos de programa\Malwarebytes
2008-09-18 19:15 . 2008-09-18 19:15 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-09-18 19:15 . 2008-09-18 20:12 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-09-18 19:15 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-18 19:15 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-18 18:17 . 2008-09-18 18:17 106,496 --a------ C:\WINDOWS\system32\14B.tmp
2008-09-18 16:55 . 2008-09-18 16:55 <DIR> d-------- C:\Archivos de programa\3
2008-09-18 16:55 . 2008-09-18 17:05 106,496 --a------ C:\WINDOWS\system32\163.tmp

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-09-19 15:05 --------- d-----w C:\Documents and Settings\LocalService\Datos de programa\VMware
2008-09-19 15:05 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\VMware
2008-09-18 18:39 --------- d-----w C:\Documents and Settings\Usuario\Datos de programa\AVG7
2008-08-08 14:12 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\avg7
2008-07-25 15:31 --------- d-----w C:\Archivos de programa\OLYMPUS
2008-07-25 15:30 --------- d-----w C:\Archivos de programa\MSXML 4.0
2008-07-25 10:33 --------- d-----w C:\Archivos de programa\Archivos comunes\Symantec Shared
2008-07-22 13:15 --------- d-----w C:\Archivos de programa\Yahoo!
2008-07-20 14:11 --------- d-----w C:\Archivos de programa\Windows Live Toolbar
2008-07-20 13:45 --------- d-----w C:\Archivos de programa\DivX
2008-07-20 13:41 --------- d-----w C:\Documents and Settings\Usuario\Datos de programa\Yahoo!
2007-03-21 08:19 540,384 ----a-w C:\Documents and Settings\Usuario\Datos de programa\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\As semblies]
@="{B3763733-0ED7-4092-8740-4280D7355EE7}"
[HKEY_CLASSES_ROOT\CLSID\{B3763733-0ED7-4092-8740-4280D7355EE7}]
2002-09-14 01:22 32768 --a------ C:\WINDOWS\system32\AsmShell.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"H/PC Connection Agent"="C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe" [2005-11-15 1204224]
"msnmsgr"="C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 15360]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe" [2008-04-17 68856]
"updateMgr"="C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" [2005-10-24 307200]
"Nokia.PCSync"="C:\Archivos de programa\Nokia\Nokia PC Suite 6\PCSync2.exe" [2008-03-26 1232896]
"PC Suite Tray"="C:\Archivos de programa\Nokia\Nokia PC Suite 6\PCSuite.exe" [2008-04-16 1079808]
"Veoh"="C:\Archivos de programa\Veoh Networks\Veoh\VeohClient.exe" [2008-06-19 3664944]
"OM2_Monitor"="C:\Archivos de programa\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" [2007-09-04 95536]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe" [2005-08-13 36972]
"ATIPTA"="C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-04-28 344064]
"SynTPLpr"="C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe" [2005-03-18 98393]
"SynTPEnh"="C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe" [2005-03-18 688217]
"Acrobat Assistant 7.0"="C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" [2006-01-12 483328]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.e xe" [2001-07-09 155648]
"WinampAgent"="C:\Archivos de programa\Winamp\winampa.exe" [2006-06-21 35328]
"AVG7_CC"="C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe" [2008-04-17 579584]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2006-10-25 282624]
"iTunesHelper"="C:\Archivos de programa\iTunes\iTunesHelper.exe" [2006-10-30 256576]
"HP Software Update"="C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 49152]
"OM2_Monitor"="C:\Archivos de programa\OLYMPUS\OLYMPUS Master 2\FirstStart.exe" [2007-09-04 54576]
"SM3"="C:\Archivos de programa\3\3.exe" [2008-09-18 831488]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 C:\WINDOWS\system32\HdAShCut.exe]
"SoundMan"="SOUNDMAN.EXE" [2005-03-10 C:\WINDOWS\SOUNDMAN.EXE]
"AlcWzrd"="ALCWZRD.EXE" [2005-03-10 C:\WINDOWS\ALCWZRD.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-20 15360]
"AVG7_Run"="C:\ARCHIV~1\Grisoft\AVG7\avgw.exe" [2007-11-30 219136]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Version Cue CS2]
--a------ 2005-04-04 18:58 856064 C:\Archivos de programa\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-10-25 19:58 282624 C:\Archivos de programa\QuickTime\qttask.exe

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\ftp.exe"=
"C:\\Archivos de programa\\Corel\\Graphics10\\Register\\NAVBrowser. exe"=
"C:\\Archivos de programa\\Messenger\\msmsgs.exe"=
"C:\\Archivos de programa\\Adobe\\Adobe Version Cue CS2\\bin\\VersionCueCS2.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"C:\Archivos de programa\Microsoft ActiveSync\rapimgr.exe"= C:\Archivos de programa\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"= C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Archivos de programa\Microsoft ActiveSync\WCESMgr.exe"= C:\Archivos de programa\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Archivos de programa\\BitTorrent\\bittorrent.exe"=
"C:\\Archivos de programa\\LimeWire\\LimeWire.exe"=
"C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\ \SAGENT4.EXE"=
"C:\\Archivos de programa\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Archivos de programa\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Archivos de programa\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Archivos de programa\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Archivos de programa\\eMule\\emule.exe"=
"C:\\Archivos de programa\\Veoh Networks\\Veoh\\VeohClient.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R3 Slazldrv;SmartLink AMR_PCI Driver;C:\WINDOWS\system32\DRIVERS\SLDRV\slazldrv. sys [2005-02-07 230448]
S3 ASNDIS5;ASNDIS5 Protocol Driver;D:\Setup\WinXP\ASNDIS5.SYS [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contenido de carpeta 'Tareas Programadas'
.
- - - - ORPHANS REMOVED - - - -

WebBrowser-{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - (no file)


.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\Usuario\Datos de programa\Mozilla\Firefox\Profiles\atlqc5z5.default \
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.buscacoche.es/
.

************************************************** ************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-19 17:05:34
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...


C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl
C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl\Quarantine
C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl\Quarantine\Autorun
C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl\Quarantine\Autorun\HKCU
C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl\Quarantine\Autorun\HKCU\RunO nce
C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl\Quarantine\Autorun\HKLM
C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl\Quarantine\Autorun\HKLM\RunO nce
C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl\Quarantine\Autorun\StartMenu AllUsers
C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl\Quarantine\Autorun\StartMenu CurrentUser
C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl\Quarantine\BrowserObjects
C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl\Quarantine\Packages
C:\WINDOWS\system32\pphcg37j0evbl.exe 106496 bytes executable

el escaneo se completo con exito
archivos ocultos: 12

************************************************** ************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Archivos de programa\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Grisoft\AVG7\avgcc.exe
C:\Archivos de programa\Java\jre1.5.0\bin\jucheck.exe
C:\ARCHIV~1\MI3AA1~1\rapimgr.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\WINDOWS\system32\pphcg37j0evbl.exe
C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
C:\Archivos de programa\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Archivos de programa\WLAN\USB_WLAN_Utility\Wlan.exe
C:\Archivos de programa\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\Archivos comunes\Nokia\MPAPI\MPAPI3s.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqste08.exe
C:\ComboFix\pv.cfexe
.
************************************************** ************************
.
Tiempo completado: 2008-09-19 17:13:06 - machine was rebooted [Usuario]
ComboFix-quarantined-files.txt 2008-09-19 15:13:03

Pre-Run: 35,724,730,368 bytes librese
Post-Run: 35,722,780,672 bytes libres

198 --- E O F --- 2008-09-11 13:02:42

Ya me dirás si lo he hecho bien porque sigue la maldita pantalla del antivirus
gracias y saludos

1.-Abrir el Notepad (Bloc de Notas)

• Ir a INICIO > EJECUTAR >
• Y ahí pones notepad.exe y ACEPTAR

2.-Ahora copia y pega estos archivos dentro del Notepad

3.- Graba este archivo con el nombre CFScript.txt y déjalo en tu escritorio.

4.- Arrastrar y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.

• Reinicia tu PC y nos dejas un el nuevo reporte de ComboFix, comentándonos como esta funcionado todo actualmente

Además, haz un escaneo on line con Kaspersky y me dejas los reportes.

Saludos

Hola Salba, estamos igual me temo. te dejo los reportes.

Reporte nuevo ComboFix:

ComboFix 08-09-19.10 - Usuario 2008-09-20 17:24:07.5 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.3082.18.1552 [GMT 2:00]
Se ejecuta desde: C:\Documents and Settings\Usuario\Escritorio\ComboFix.exe
Command switches used :: C:\Documents and Settings\Usuario\Escritorio\CFScript.txt
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl

.
(((((((((((((((((( Archivos creados desde 2008-08-20 - 2008-09-20 )))))))))))))))))))))))))))))))))
.

2008-09-19 17:13 . 2008-09-19 17:13 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configura ción local
2008-09-19 17:13 . 2008-09-19 17:13 <DIR> d-------- C:\Documents and Settings\Usuario\Configuración local
2008-09-19 17:13 . 2008-09-19 17:13 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuración local
2008-09-19 17:13 . 2008-09-19 17:13 <DIR> d-------- C:\Documents and Settings\LocalService\Configuración local
2008-09-19 17:13 . 2008-09-19 17:13 <DIR> d-------- C:\Documents and Settings\Jotaele\Configuración local
2008-09-19 02:43 . 2008-09-19 02:43 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-09-19 02:39 . 2008-09-19 10:49 106,496 --a------ C:\WINDOWS\system32\BFA.tmp
2008-09-19 02:39 . 2008-09-19 11:48 106,496 --a------ C:\WINDOWS\system32\345E.tmp
2008-09-19 02:26 . 2008-09-19 02:26 <DIR> d-------- C:\Documents and Settings\Usuario\DoctorWeb
2008-09-19 01:44 . 2008-09-19 16:16 <DIR> d-------- C:\Archivos de programa\DelPSGuard
2008-09-19 00:09 . 2008-09-19 00:09 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-09-18 19:15 . 2008-09-18 19:15 <DIR> d-------- C:\Documents and Settings\Usuario\Datos de programa\Malwarebytes
2008-09-18 19:15 . 2008-09-18 19:15 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-09-18 19:15 . 2008-09-18 20:12 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-09-18 19:15 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-18 19:15 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-18 18:17 . 2008-09-18 18:17 106,496 --a------ C:\WINDOWS\system32\14B.tmp
2008-09-18 16:55 . 2008-09-18 16:55 <DIR> d-------- C:\Archivos de programa\3
2008-09-18 16:55 . 2008-09-18 17:05 106,496 --a------ C:\WINDOWS\system32\163.tmp

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-09-20 15:27 --------- d-----w C:\Documents and Settings\LocalService\Datos de programa\VMware
2008-09-20 15:27 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\VMware
2008-09-20 15:05 --------- d-----w C:\Documents and Settings\Usuario\Datos de programa\AVG7
2008-09-20 14:45 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\avg7
2008-09-20 14:32 --------- d-----w C:\Documents and Settings\Usuario\Datos de programa\HPAppData
2008-07-25 15:31 --------- d-----w C:\Archivos de programa\OLYMPUS
2008-07-25 15:30 --------- d-----w C:\Archivos de programa\MSXML 4.0
2008-07-25 10:33 --------- d-----w C:\Archivos de programa\Archivos comunes\Symantec Shared
2008-07-22 13:15 --------- d-----w C:\Archivos de programa\Yahoo!
2008-07-20 14:11 --------- d-----w C:\Archivos de programa\Windows Live Toolbar
2008-07-20 13:45 --------- d-----w C:\Archivos de programa\DivX
2008-07-20 13:41 --------- d-----w C:\Documents and Settings\Usuario\Datos de programa\Yahoo!
2007-03-21 08:19 540,384 ----a-w C:\Documents and Settings\Usuario\Datos de programa\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((( snapshot@2008-09-19_17.12.41.65 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-09-19 15:06:25 106,496 ----a-w C:\WINDOWS\system32\pphcg37j0evbl.exe
+ 2008-09-20 15:44:37 106,496 ----a-w C:\WINDOWS\system32\pphcg37j0evbl.exe
+ 2008-09-20 15:27:20 16,384 ----atw C:\WINDOWS\temp\Perflib_Perfdata_328.dat
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\As semblies]
@="{B3763733-0ED7-4092-8740-4280D7355EE7}"
[HKEY_CLASSES_ROOT\CLSID\{B3763733-0ED7-4092-8740-4280D7355EE7}]
2002-09-14 01:22 32768 --a------ C:\WINDOWS\system32\AsmShell.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"H/PC Connection Agent"="C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe" [2005-11-15 1204224]
"msnmsgr"="C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 15360]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe" [2008-04-17 68856]
"updateMgr"="C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" [2005-10-24 307200]
"Nokia.PCSync"="C:\Archivos de programa\Nokia\Nokia PC Suite 6\PCSync2.exe" [2008-03-26 1232896]
"PC Suite Tray"="C:\Archivos de programa\Nokia\Nokia PC Suite 6\PCSuite.exe" [2008-04-16 1079808]
"Veoh"="C:\Archivos de programa\Veoh Networks\Veoh\VeohClient.exe" [2008-06-19 3664944]
"OM2_Monitor"="C:\Archivos de programa\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" [2007-09-04 95536]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe" [2005-08-13 36972]
"ATIPTA"="C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-04-28 344064]
"SynTPLpr"="C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe" [2005-03-18 98393]
"SynTPEnh"="C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe" [2005-03-18 688217]
"Acrobat Assistant 7.0"="C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" [2006-01-12 483328]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.e xe" [2001-07-09 155648]
"WinampAgent"="C:\Archivos de programa\Winamp\winampa.exe" [2006-06-21 35328]
"AVG7_CC"="C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe" [2008-04-17 579584]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2006-10-25 282624]
"iTunesHelper"="C:\Archivos de programa\iTunes\iTunesHelper.exe" [2006-10-30 256576]
"HP Software Update"="C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 49152]
"OM2_Monitor"="C:\Archivos de programa\OLYMPUS\OLYMPUS Master 2\FirstStart.exe" [2007-09-04 54576]
"SM3"="C:\Archivos de programa\3\3.exe" [2008-09-18 831488]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 C:\WINDOWS\system32\HdAShCut.exe]
"SoundMan"="SOUNDMAN.EXE" [2005-03-10 C:\WINDOWS\SOUNDMAN.EXE]
"AlcWzrd"="ALCWZRD.EXE" [2005-03-10 C:\WINDOWS\ALCWZRD.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-20 15360]
"AVG7_Run"="C:\ARCHIV~1\Grisoft\AVG7\avgw.exe" [2007-11-30 219136]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Version Cue CS2]
--a------ 2005-04-04 18:58 856064 C:\Archivos de programa\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-10-25 19:58 282624 C:\Archivos de programa\QuickTime\qttask.exe

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\ftp.exe"=
"C:\\Archivos de programa\\Corel\\Graphics10\\Register\\NAVBrowser. exe"=
"C:\\Archivos de programa\\Messenger\\msmsgs.exe"=
"C:\\Archivos de programa\\Adobe\\Adobe Version Cue CS2\\bin\\VersionCueCS2.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"C:\Archivos de programa\Microsoft ActiveSync\rapimgr.exe"= C:\Archivos de programa\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"= C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Archivos de programa\Microsoft ActiveSync\WCESMgr.exe"= C:\Archivos de programa\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Archivos de programa\\BitTorrent\\bittorrent.exe"=
"C:\\Archivos de programa\\LimeWire\\LimeWire.exe"=
"C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\ \SAGENT4.EXE"=
"C:\\Archivos de programa\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Archivos de programa\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Archivos de programa\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Archivos de programa\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Archivos de programa\\eMule\\emule.exe"=
"C:\\Archivos de programa\\Veoh Networks\\Veoh\\VeohClient.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R3 Slazldrv;SmartLink AMR_PCI Driver;C:\WINDOWS\system32\DRIVERS\SLDRV\slazldrv. sys [2005-02-07 230448]
S3 ASNDIS5;ASNDIS5 Protocol Driver;D:\Setup\WinXP\ASNDIS5.SYS [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contenido de carpeta 'Tareas Programadas'
.

************************************************** ************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-20 17:42:44
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...


C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl
C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl\Quarantine
C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl\Quarantine\Autorun
C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl\Quarantine\Autorun\HKCU
C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl\Quarantine\Autorun\HKCU\RunO nce
C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl\Quarantine\Autorun\HKLM
C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl\Quarantine\Autorun\HKLM\RunO nce
C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl\Quarantine\Autorun\StartMenu AllUsers
C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl\Quarantine\Autorun\StartMenu CurrentUser
C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl\Quarantine\BrowserObjects
C:\Documents and Settings\Usuario\Datos de programa\rhcl37j0evbl\Quarantine\Packages
C:\WINDOWS\system32\pphcg37j0evbl.exe 106496 bytes executable

el escaneo se completo con exito
archivos ocultos: 12

************************************************** ************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Archivos de programa\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Archivos de programa\Java\jre1.5.0\bin\jucheck.exe
C:\Archivos de programa\Grisoft\AVG7\avgcc.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\ARCHIV~1\MI3AA1~1\rapimgr.exe
C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
C:\Archivos de programa\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Archivos de programa\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Archivos de programa\Archivos comunes\Nokia\MPAPI\MPAPI3s.exe
C:\Archivos de programa\WLAN\USB_WLAN_Utility\Wlan.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqste08.exe
C:\ComboFix\pv.cfexe
.
************************************************** ************************
.
Tiempo completado: 2008-09-20 17:51:23 - machine was rebooted
ComboFix-quarantined-files.txt 2008-09-20 15:51:20
ComboFix2.txt 2008-09-19 15:13:07

Pre-Run: 35.679.682.560 bytes libres
Post-Run: 35,672,645,632 bytes libres

183 --- E O F --- 2008-09-11 13:02:42


y aqui te paso el reporte del kaspersky:

domingo, 21 de septiembre de 2008 8:07:16
Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 20/09/2008
Registros en la base antivirus: 1246047


Configuración del análisis
Analizar usando las siguientes bases estendidas
Analizar archivos verdadero
Analizar bases de correo verdadero

Objetivo a analizar Mi PC
C:\
D:\

Estadísticas
Número de objeros analizados 91658
Virus encontrados 5
Objetos infectados 33 / 0
Objetos sospechosos 0
Duración del análisis 01:11:14

Bombre del objeto infectado Nombre del virus Última acción
C:\Archivos de programa\3\3.exe Infectados: not-a-virus:FraudTool.Win32.AntivirusXP2008.bk saltado

C:\Archivos de programa\3\Uninstall.exe Infectados: not-a-virus:FraudTool.Win32.XPAntivirus.su saltado

C:\Archivos de programa\Veoh Networks\Veoh\client.log Object is locked saltado

C:\Archivos de programa\Veoh Networks\Veoh\upload.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Grisoft\Avg7Data\avg7log.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Grisoft\Avg7Data\avg7log.log.lck Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\VMware\vmnetdhcp.leases Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Microsoft\Outlook\Outlook.pst/Personal Folders/Inbox/03 Mar 2008 21:12 from Mail Delivery Subsystem:Returned mail: se.eml/[From elenaf@mediapress.es][Date Mon, 03 Mar 2008 22:12:24 +0100]/file.scr Infectados: Net-Worm.Win32.Mytob.c saltado

C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Microsoft\Outlook\Outlook.pst/Personal Folders/Inbox/03 Mar 2008 21:12 from Mail Delivery Subsystem:Returned mail: se.eml Infectados: Net-Worm.Win32.Mytob.c saltado

C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Microsoft\Outlook\Outlook.pst/Personal Folders/Inbox/24 Mar 2008 16:58 from Mail Delivery Subsystem:Returned mail: se.eml/[From elenaf@mediapress.es][Date Mon, 24 Mar 2008 17:58:36 +0100]/document.exe Infectados: Net-Worm.Win32.Mytob.c saltado

C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Microsoft\Outlook\Outlook.pst/Personal Folders/Inbox/24 Mar 2008 16:58 from Mail Delivery Subsystem:Returned mail: se.eml Infectados: Net-Worm.Win32.Mytob.c saltado

C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Microsoft\Outlook\Outlook.pst/Personal Folders/Inbox/25 Mar 2008 04:49 from Mail Delivery Subsystem:Returned mail: se.eml/[From elenaf@mediapress.es][Date Tue, 25 Mar 2008 05:49:20 +0100]/message.zip/message.htm .pif Infectados: Net-Worm.Win32.Mytob.c saltado

C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Microsoft\Outlook\Outlook.pst/Personal Folders/Inbox/25 Mar 2008 04:49 from Mail Delivery Subsystem:Returned mail: se.eml/[From elenaf@mediapress.es][Date Tue, 25 Mar 2008 05:49:20 +0100]/message.zip Infectados: Net-Worm.Win32.Mytob.c saltado

C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Microsoft\Outlook\Outlook.pst/Personal Folders/Inbox/25 Mar 2008 04:49 from Mail Delivery Subsystem:Returned mail: se.eml Infectados: Net-Worm.Win32.Mytob.c saltado

C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Microsoft\Outlook\Outlook.pst/Personal Folders/Inbox/26 Mar 2008 17:27 from Mail Delivery Subsystem:Returned mail: se.eml/[From elenaf@mediapress.es][Date Wed, 26 Mar 2008 18:27:24 +0100]/doc.zip/doc.doc .scr Infectados: Net-Worm.Win32.Mytob.c saltado

C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Microsoft\Outlook\Outlook.pst/Personal Folders/Inbox/26 Mar 2008 17:27 from Mail Delivery Subsystem:Returned mail: se.eml/[From elenaf@mediapress.es][Date Wed, 26 Mar 2008 18:27:24 +0100]/doc.zip Infectados: Net-Worm.Win32.Mytob.c saltado

C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Microsoft\Outlook\Outlook.pst/Personal Folders/Inbox/26 Mar 2008 17:27 from Mail Delivery Subsystem:Returned mail: se.eml Infectados: Net-Worm.Win32.Mytob.c saltado

C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Microsoft\Outlook\Outlook.pst/Personal Folders/Inbox/23 Apr 2008 09:20 from Mail Delivery Subsystem:Returned mail: se.eml/[From elenaf@mediapress.es][Date Wed, 23 Apr 2008 11:17:14 +0200]/body.pif Infectados: Net-Worm.Win32.Mytob.c saltado

C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Microsoft\Outlook\Outlook.pst/Personal Folders/Inbox/23 Apr 2008 09:20 from Mail Delivery Subsystem:Returned mail: se.eml Infectados: Net-Worm.Win32.Mytob.c saltado

C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Microsoft\Outlook\Outlook.pst MailMSMaill: infectado - 12 saltado

C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Usuario\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Usuario\Configuración local\temp\om22.tmp Object is locked saltado

C:\Documents and Settings\Usuario\Configuración local\temp\Perflib_Perfdata_ddc.dat Object is locked saltado

C:\Documents and Settings\Usuario\Configuración local\temp\~DF7FCF.tmp Object is locked saltado

C:\Documents and Settings\Usuario\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Usuario\Datos de programa\$_hpcst$.hpc Object is locked saltado

C:\Documents and Settings\Usuario\Escritorio\install_mbamsetup.exe. exe Infectados: Backdoor.Win32.Small.gfk saltado

C:\Documents and Settings\Usuario\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\Usuario\NtUser.dat.LOG Object is locked saltado

C:\QooBox\Quarantine\C\WINDOWS\system32\9.tmp.vir Infectados: not-a-virus:FraudTool.Win32.XPAntivirus.qj saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{2121C264-91D6-4FA4-84C3-FD1CFE91D44C}\RP2\A0000011.exe Infectados: not-a-virus:FraudTool.Win32.XPAntivirus.qj saltado

C:\System Volume Information\_restore{2121C264-91D6-4FA4-84C3-FD1CFE91D44C}\RP2\A0000929.exe Infectados: not-a-virus:FraudTool.Win32.XPAntivirus.qj saltado

C:\System Volume Information\_restore{2121C264-91D6-4FA4-84C3-FD1CFE91D44C}\RP2\A0000996.exe Infectados: not-a-virus:FraudTool.Win32.XPAntivirus.qj saltado

C:\System Volume Information\_restore{2121C264-91D6-4FA4-84C3-FD1CFE91D44C}\RP2\A0001032.exe Infectados: not-a-virus:FraudTool.Win32.XPAntivirus.qj saltado

C:\System Volume Information\_restore{2121C264-91D6-4FA4-84C3-FD1CFE91D44C}\RP2\A0001058.exe Infectados: not-a-virus:FraudTool.Win32.XPAntivirus.qj saltado

C:\System Volume Information\_restore{2121C264-91D6-4FA4-84C3-FD1CFE91D44C}\RP2\A0001173.exe Infectados: not-a-virus:FraudTool.Win32.XPAntivirus.qj saltado

C:\System Volume Information\_restore{2121C264-91D6-4FA4-84C3-FD1CFE91D44C}\RP2\A0001202.exe Infectados: not-a-virus:FraudTool.Win32.XPAntivirus.qj saltado

C:\System Volume Information\_restore{2121C264-91D6-4FA4-84C3-FD1CFE91D44C}\RP2\A0001205.exe Infectados: not-a-virus:FraudTool.Win32.XPAntivirus.qj saltado

C:\System Volume Information\_restore{2121C264-91D6-4FA4-84C3-FD1CFE91D44C}\RP2\A0001207.exe Infectados: not-a-virus:FraudTool.Win32.XPAntivirus.qj saltado

C:\System Volume Information\_restore{2121C264-91D6-4FA4-84C3-FD1CFE91D44C}\RP2\A0001208.exe Infectados: not-a-virus:FraudTool.Win32.XPAntivirus.qj saltado

C:\System Volume Information\_restore{2121C264-91D6-4FA4-84C3-FD1CFE91D44C}\RP3\A0001250.exe Infectados: not-a-virus:FraudTool.Win32.XPAntivirus.qj saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\14B.tmp Infectados: not-a-virus:FraudTool.Win32.XPAntivirus.qj saltado

C:\WINDOWS\system32\163.tmp Infectados: not-a-virus:FraudTool.Win32.XPAntivirus.qj saltado

C:\WINDOWS\system32\345E.tmp Infectados: not-a-virus:FraudTool.Win32.XPAntivirus.qj saltado

C:\WINDOWS\system32\BFA.tmp Infectados: not-a-virus:FraudTool.Win32.XPAntivirus.qj saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\pphcg37j0evbl.exe Infectados: not-a-virus:FraudTool.Win32.XPAntivirus.qj saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\temp\Perflib_Perfdata_328.dat Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

Análisis completado.


Una cosa más; mensaje de AVG "Avg Free Edition Resident Shield: While opening file. C\WINDOWS\System32\pphcg37j0evbl.exe Trojan horse Downloader.Fraudload.P" este mensaje sale continuamente con avg activado. y las ventanitas del antivirus vuelven a salir "Antivirus XP 2008 has found 2858 threats...." y la de actualizacion. Cuando abro ie me cancela la navegacion. Ayer puse a correr el kaspersky y cuando volví horas después no había hecho el análisis, se quedó inicializando unas 4 horas. lo puse de nuevo y terminó el trabajo con el reporte que he copiado aquí. Ya no sé qué más se puede hacer...
Espero que aún se pueda hacer algo... muchas gracias

Hola Salba, te he dejado los reportes de combofix y kaspersky como respuesta en el otro mensaje, antes no lo encontraba en el foro...ahora ya lo he visto, ups. gracias

Antes que nada asegurate de desactivar Restaurar Sistema, ya que allí hay infecciones.

Algo ha fallado en la eliminación, asegurate de crear correctamente el Script:


1.-Abrir el Notepad (Bloc de Notas)

• Ir a INICIO > EJECUTAR >
• Y ahí pones notepad.exe y ACEPTAR

2.-Ahora copia y pega estos archivos dentro del Notepad

3.- Graba este archivo con el nombre CFScript.txt y déjalo en tu escritorio.

4.- Arrastrar y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.

• Reinicia tu PC y nos dejas un el nuevo reporte de ComboFix, comentándonos como esta funcionado todo actualmente

Hola Salba, al reiniciarlo no me ha aparecido el antivirus xp 2008, por fin pareceque se ha ido!!!. He activado el resident shield del avg de nuevo y, lo de la casilla de restaurar sistema, la había desactivado pero no apliqué el cambió y no se guardó. De momento parece que no está el dichoso bicho ¿ahora basta con activar de nuevo la restauración del sistema??

Muchas gracias, pensé que nunca se iría sin formatear... eres un crack