Buenas, resulta q tengo un troyano creo, zlob dns changer, intente hacerle de todo antes, probe con el doctor spyware, el spybot, el superantispyware y nada me lo podia sacar, me lo detectaban pero ponia arreglar y volvia a aparecer. Tengo de antivirus en nod32 todo actualizado. Me chive y empeze a tocar cosas a lo loco y resulta q pude sacar el virus, metiendome en el registro y borrando archivos sospechosos de windows\system32 con la consola de recuperacion y en un momento lo llege a sacar pero hice ****** windows en el intento jajaja. Intente repararlo y no funcionaba asi q copie documentos a otra particion del disco y formatee a la ******. Resulta q ahora tengo todo denuevo, la compu me funciona de maravilla pero el virus me lo sigue detectando. Me detectaba un zlob.dnschanger.rtk y otro zlob solo nada mas. Tengo el spybot y el hijack this y el nod32. Uno de los trojanos lo consegui hacer desaparecer, cerrando todos los procesos y entradas en hijack con el nro 017, tenian ips ucranianas o algo asi y me parecio sospechoso y las borre, tmb borre la entrada del registro y puse fix en el spybot, pero ahora el dnschanger.rtk me sigue apareciendo, y si bien lo puedo borrar ( esta en c:\windows\system32\kdppw.exe ) reaparece, ya probe borrarlo con el killbox y no me deja, en la carpeta de windows no me aparece y si lo borro del spybot reaparece. Tmb se pone como proceso de inicio y no lo puedo sacar ni desde msconfig ni desde ccleaner ni tampoco borrandolo primero desde la conosola, siempre q inicio la maquina esta ahi.
Aca les dejo mi log de Hijack this, espero q puedan ayudarme (fijense q en la entrada 04 esta ese proceso q les digo).

Un saludo!




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:02:24, on 25/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\MagicTune Premium\MagicTuneEngine.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\REALTEK RTL8185 Wireless LAN Driver and Utility\RtWLan.exe
C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdppw.exe] C:\WINDOWS\system32\kdppw.exe
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: REALTEK RTL8185 Wireless LAN Utility.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: MagicTuneEngine - Unknown owner - C:\Archivos de programa\MagicTune Premium\MagicTuneEngine.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 2895 bytes

Hola y bienvenido al foro..


Paso 1- Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).


Paso 2- Descarga estas herramientas pero no las ejecutes aun:

• ComboFix.exe
• OTmoveIT2

Paso 3- Con todos los programas cerrados ejecuta HijackThis y dale a estas entradas:

O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdppw.exe] C:\WINDOWS\system32\kdppw.exe



Paso 4- Ejecuta estas herramientas, de a una:

• Ejecuta OTmoveIT2 como se explica en su manual colocando los siguientes archivos en la casilla "Paste Standard List of Files / Folders to be Moved".
  
  Código:

  C:\WINDOWS\system32\kdppw.exe
  

• Ejecuta Combofix de la siguiente manera:
  • Desactiva temporalmente el Antivirus y/o Antispyware.
  • Cierra todas las ventanas abiertas.
  • Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
  • Cuando termine, generara un registro en C:\ComboFix.txt.
    • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
    • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.
  Cita:

  Atención!! No use ComboFix a menos que se le haya indicado específicamente en su mensaje por un integrante de nuestro Staff. Es una herramienta de gran alcance destinada por su creador a ser usada bajo la orientación y supervisión de un experto, no para uso privado. El uso de ComboFix incorrectamente podría generar problemas en su sistema. Por favor, lea las "Negaciones de la Garantía" de ComboFix.

Reinicia y nos contas los resultados junto a un nuevo reporte de HJT, y Combofix y OtmoveiT2.

Agradesco la respuesta, el problema ya se soluciono, resulta q el troyano estaba en mi cd de instalacion de windows, ya grabe uno nuevo y faje al que me presto el suyo jajajaa.
Tema por cerrado, igual gracias por la respuesta

Un saludo!

Fede