hola, antes q nada gracias x leer esto, dejo mi log para ver si pueden orientarme
nod32 me detecto ese trojano + un archivo infectado y lo borro. el problema no pasa mas, pero creo que el logfile q adjunto no pinta nada bien, muchas entradas raras aunque admito de esto no tengo idea.





format?


el log v -gracias-



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8:49:32 AM, on 9/23/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20583)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\COMODO\Firewall\cfp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222166538562
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1222166506500
O17 - HKLM\System\CCS\Services\Tcpip\..\{77AB595C-9FF9-4701-9077-9A4B34456A35}: NameServer = 200.45.191.35,200.45.191.40
O17 - HKLM\System\CS1\Services\Tcpip\..\{77AB595C-9FF9-4701-9077-9A4B34456A35}: NameServer = 200.45.191.35,200.45.191.40
O17 - HKLM\System\CS2\Services\Tcpip\..\{77AB595C-9FF9-4701-9077-9A4B34456A35}: NameServer = 200.45.191.35,200.45.191.40
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll

--
End of file - 3107 bytes

update

no uso "Restaurar Sistema" (apagado)

no uso Messenger

tengo activa la opción Ver Archivos Ocultos

el os = win xp pro sp2

el problema = se me reiniciaba la pc a mover una carpeta



update dos

Hola detonated, te doy la bienvenida al Foro de InfoSpyware.

ForoSpyware lo mantenemos voluntarios que tenemos nuestros trabajos y obligaciones fuera, por lo que no estamos 24/7, a lo que te pedimos paciencia en el análisis y respuesta de tu caso. Si 48hrs después de nos dejas un nuevo log de HijackThis no recibes una respuesta me puedes enviar un mp de recordatorio.

Vamos a comenzar por estos pasos:

• Paso 1- Descarga, instala y actualiza las siguientes herramientas:
  • CCleaner // Manual de uso.
  • Malwarebytes' Anti-Malware // Manual de uso.
  
  
• Paso 2- Ejecuta CCleaner para hacerle una limpieza de cookies, archivos temporales eh innecesarios para mejorar el rendimiento de tu equipo y generar reportes mas limpios. (no necesitamos este reporte)
  
  
• Paso 3- Ejecuta Malwarebytes' Anti-Malware (MBAM) y selecciona todo lo que este encuentre para luego presionar el botón de "Quitar lo Seleccionado" y así mandarlo a cuarentena.
  
  
• Paso 4- Reinicia tu PC, y vuelve a generar un nuevo reporte de HijackThis 2.0.2 para pegarlo junto con el reporte de MBAM en este mismo mensaje contándonos si hubiera habido alguna mejora en el problema o rendimiento del equipo.

Por ultimo te recomiendo suscribirte al feed de nuestro Blog de InfoSpyware para estar al tanto de las nuevas amenazas que circulan por la red y así en un futuro puedas prevenirlas.



No te olvides de volver a dejarnos los reportes para continuar con el tema....

Salu2

gracias! no quiso ser un reclamo, más q nada frustracion, se que me estan haciendo un favor-

te comento

Descarge / instale / use CCleaner sin problemas

Descarge el Malwarebytes, voy a instalarlo y me tira este mensaje




le puse ignorar y me tiro otro asi que cancele la instalacion


el hijack this me mostro q uno de estos dos me agrego esto


R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll


O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

le puse fix a los tres y ya no estan más


este es mi log actual

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 3:59:31 AM, on 9/25/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20583)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\COMODO\Firewall\cfp.exe
C:\Program Files\Windows NT\Accessories\WORDPAD.EXE
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O17 - HKLM\System\CCS\Services\Tcpip\..\{77AB595C-9FF9-4701-9077-9A4B34456A35}: NameServer = 200.45.191.35,200.45.191.40
O17 - HKLM\System\CS1\Services\Tcpip\..\{77AB595C-9FF9-4701-9077-9A4B34456A35}: NameServer = 200.45.191.35,200.45.191.40
O17 - HKLM\System\CS2\Services\Tcpip\..\{77AB595C-9FF9-4701-9077-9A4B34456A35}: NameServer = 200.45.191.35,200.45.191.40
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
--
End of file - 1784 bytes


que son estas entradas CCS CS1 CS2 ? ( los numeros corresponden al los DNS de mi ISP - arnet- ) noto que mi firewal ( comodo) me
pone a veces esto, es normal?










edit 1, lo pude instalar / actulizar .era el firewall q no me dejaba. de acuero al programa esta todo ok. (ayer hice un combofix ...)

Malwarebytes' Anti-Malware 1.28
Database version: 1203
Windows 5.1.2600 Service Pack 2

9/25/2008 5:04:52 AM
mbam-log-2008-09-25 (05-04-52).txt

Scan type: Full Scan (C:\|D:\|E:\|)
Objects scanned: 56086
Time elapsed: 35 minute(s), 36 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

Hola, el log de HijackThis esta limpio.

Las entradas que comentas son de la barra de Yahoo la cual al momento de instalar CCleaner te pregunta si la queres instalar o no....

Sobre el Firewall tendrías que preguntar en el sector de Firewalls.

Si no hay mas problemas damos por terminado el caso.

Salu2