Hola amigos me comenzó a salir un mensaje al iniciar mi compu y me aparece que el winrofl32.exe, no lo he ejecutado, pero el messenger ha comenzado a mandar archivos a mis contactos, ya hice un analisis en linea con el kaspersky, alguien que me pueda ayudar, ¿puedo poner el analisis? he leido algunos post sobre eso, pero no me animo a moverle

Gracias por su ayuda.

Hola carolochm,

Realiza los siguientes pasos: ( Si tienes el reporte de Kaspersky Pegalo Aqui)


Paso 1.- Descargar y/o actualizar estas herramientas, pero no las ejecute aun.:

• MSNCleaner

• MalwareByte's Antimalware

• CCleaner

Paso2.- Reinicia en "Modo Seguro" (Si esta opción se encuentra bloqueda/dañada, omita el paso)



Paso3.- Ejecuta estas herramientas de la siguiente manera:

• Ejecuta el MSNCleaner de la siguiente forma:

• MalwareByte's Antimalware:

Paso 4.- Utilizar "CCleaner", usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).



Reinicia y nos cuentas los resultados junto a los reportes generados por, MalwareByte's Antimalware, MSNCleaner

Gracias pongo el resultado de Kaspersky

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
viernes, 26 de septiembre de 2008 10:48:49
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 25/09/2008
Registros en la base antivirus: 1258880
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: estendidas
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
A:\
C:\
D:\
E:\
F:\
H:\
I:\
J:\

Estadísticas:
Número de objeros analizados: 116553
Virus encontrados: 3
Objetos infectados: 7 / 0
Objetos sospechosos: 2
Duración del análisis: 01:57:45

Bombre del objeto infectado / Nombre del virus / Última acción
C:\!KillBox\winrofl32.exe Infectados: Constructor.Win32.Binder.jt saltado
C:\Documents and Settings\All Users\Datos de programa\ESET\ESET Smart Security\Charon\CACHE.NDB Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\ESET\ESET Smart Security\Logs\epfwlog.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\ESET\ESET Smart Security\Logs\eScan\ndl25193.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\ESET\ESET Smart Security\Logs\virlog.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\ESET\ESET Smart Security\Logs\warnlog.dat Object is locked saltado
C:\Documents and Settings\Carlo\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Carlo\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado
C:\Documents and Settings\Carlo\Configuración local\Datos de programa\Microsoft\Messenger\carolochm@yahoo.com.m x\SharingMetadata\Logs\Dfsr00005.log Object is locked saltado
C:\Documents and Settings\Carlo\Configuración local\Datos de programa\Microsoft\Messenger\carolochm@yahoo.com.m x\SharingMetadata\pending.dat Object is locked saltado
C:\Documents and Settings\Carlo\Configuración local\Datos de programa\Microsoft\Messenger\carolochm@yahoo.com.m x\SharingMetadata\Working\database_8A3C_2351_3C23_ 3799\dfsr.db Object is locked saltado
C:\Documents and Settings\Carlo\Configuración local\Datos de programa\Microsoft\Messenger\carolochm@yahoo.com.m x\SharingMetadata\Working\database_8A3C_2351_3C23_ 3799\fsr.log Object is locked saltado
C:\Documents and Settings\Carlo\Configuración local\Datos de programa\Microsoft\Messenger\carolochm@yahoo.com.m x\SharingMetadata\Working\database_8A3C_2351_3C23_ 3799\fsrtmp.log Object is locked saltado
C:\Documents and Settings\Carlo\Configuración local\Datos de programa\Microsoft\Messenger\carolochm@yahoo.com.m x\SharingMetadata\Working\database_8A3C_2351_3C23_ 3799\tmp.edb Object is locked saltado
C:\Documents and Settings\Carlo\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\Carlo\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\Carlo\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\carolochm@yahoo.com.mx\real\members.stg Object is locked saltado
C:\Documents and Settings\Carlo\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\carolochm@yahoo.com.mx\shadow\members.stg Object is locked saltado
C:\Documents and Settings\Carlo\Configuración local\Datos de programa\Microsoft\Windows Live Mail\Storage Folders\Bandeja de 302\27C123AC-000001AF.eml/[From Banamex <soporte@banamex.com.mx>][Date Wed, 15 Aug 2007 07:03:22 -0700]/html Sospechosos: Trojan-Spy.HTML.Fraud.gen saltado
C:\Documents and Settings\Carlo\Configuración local\Datos de programa\Microsoft\Windows Live Mail\Storage Folders\Bandeja de 302\27C123AC-000001AF.eml Mail: sospechoso - 1 saltado
C:\Documents and Settings\Carlo\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Carlo\Configuración local\Historial\History.IE5\MSHist0120080925200809 26\index.dat Object is locked saltado
C:\Documents and Settings\Carlo\Configuración local\Temp\photo.zip/photo1226.jpeg-www.myspace.com Infectados: Backdoor.Win32.Agent.sdd saltado
C:\Documents and Settings\Carlo\Configuración local\Temp\photo.zip ZIP: infectado - 1 saltado
C:\Documents and Settings\Carlo\Configuración local\Temp\~DF270A.tmp Object is locked saltado
C:\Documents and Settings\Carlo\Configuración local\Temp\~DF270F.tmp Object is locked saltado
C:\Documents and Settings\Carlo\Configuración local\Temp\~DFC29F.tmp Object is locked saltado
C:\Documents and Settings\Carlo\Configuración local\Temp\~DFC4D4.tmp Object is locked saltado
C:\Documents and Settings\Carlo\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\Carlo\Mis documentos\CARLO\Respaldo del Disco Viejo\SSYC y Personales\SSYC\REAL VICTORIA\MATERIALES DE CONSTRUCCION Y MANO DE OBRA.xls Object is locked saltado
C:\Documents and Settings\Carlo\Mis documentos\Mis archivos recibidos\photo.zip/photo1226.jpeg-www.myspace.com Infectados: Backdoor.Win32.Agent.sdd saltado
C:\Documents and Settings\Carlo\Mis documentos\Mis archivos recibidos\photo.zip ZIP: infectado - 1 saltado
C:\Documents and Settings\Carlo\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\Carlo\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\Carlo\nxuirob.exe Infectados: Backdoor.Win32.Agent.sdd saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\SoftwareDistribution\DataStore\DataStor e.edb Object is locked saltado
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb .log Object is locked saltado
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp .edb Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado
C:\WINDOWS\Sti_Trace.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\Internet.evt Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\h323log.txt Object is locked saltado
C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked saltado
C:\WINDOWS\system32\smfv.exe Infectados: Backdoor.Win32.Agent.sdd saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\Temp\Perflib_Perfdata_b0.dat Object is locked saltado
C:\WINDOWS\Temp\spnserv.dat Object is locked saltado
C:\WINDOWS\wiadebug.log Object is locked saltado
C:\WINDOWS\wiaservc.log Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado

Análisis completado.


Descargando Programas como me indicas y de nuevo GRACIAS

Cuando hayas pasado todas las herramientas te indico q hacer

Hola ya hice los pasos indicados, no encontró nada te pego los reportes

msncleaner

- Reporte MSNCleaner 1.7.0 by www.forospyware.com
- Reporte Creado: 26/09/2008 a las 12:07:08 p.m.
- Sistema Operativo: Windows XP
- Modo de Inicio: Prueba de fallos
_________________________________________

Archivos detectados: 0
Archivos eliminados: 0
Archivos no eliminados: 0

<<<<<<< No se ha encontrado ningún archivo >>>>>>>


MalwareBytes Antimalware

No encuentro el registro de este, pero deja lo busco no me salío ningun virus segu esto, la maquina ya no me manda esa ventana al iniciar, pero no estoy seguro, Gracias la dejaré haciendo otro antimalware para poder mandarte el reporte.

Hola de nuevo reporte del Antimalware


Malwarebytes' Anti-Malware 1.27
Database version: 1127
Windows 5.1.2600 Service Pack 2

26/09/2008 04:43:24 p.m.
mbam-log-2008-09-26 (16-43-24).txt

Scan type: Full Scan (C:\|)
Objects scanned: 154483
Time elapsed: 55 minute(s), 47 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

No encontró virus deja la reinicio a ver como se comporta GRACIAS

el ccleaner hizo su chamba deja ver que comportamiento tiene al reiniciar y vuelvo a correr el kaspersky en línea.

Gracias.

No hagas otro analisis con kaspersky


Elimina las infecciones encontradas por kaspersky de la siguinte manera:


Descargate OTMoveIt2 lo guardas en el Escritorio.

• Haz un doble clic sobre OTMoveIt.exe para ejecutarlo.
• Asegurate que este marcado "Unregister Dll's and Ocx's".
• Copia el texto que se encuentra en el cuadrado más abajo, y pega el texto en el marco de izquierdo de OTMoveIt nombrado Paste List of Filas / Folders to be moved.

• Haz clic en MoveIt! Para lanzar la supresión.
• Cuando el resultado aparece en el marco Results, haz clic enExit.
• Reinicia el PC (Este paso es muy importante)

Envía el informe (reporte) de OTMoveIt situado sobre C: \ _ OTMoveIt\MovedFiles.



Luego de esto me cuentas como sigue tu pc

Gracias lo reviso y te reporto, ¿como sabes que es lo que hay que borrar con ese programa?, para saber y poder ayudar a los que haya infectado mi MSN de mis contactos, bajando e instalando, de nuevo gracias.

De nuevo hola ya hice lo que me indicaste pego el reporte

File/Folder C:\Documents and Settings\Carlo\Configuración local\Datos de programa\Microsoft\Windows Live Mail\Storage Folders\Bandeja de 302\27C123AC-000001AF.eml not found.
C:\Documents and Settings\Carlo\Configuración local\Temp\photo.zip moved successfully.
C:\Documents and Settings\Carlo\Mis documentos\Mis archivos recibidos\photo.zip moved successfully.
File/Folder C:\Documents and Settings\Carlo\nxuirob.exe not found.
File/Folder C:\WINDOWS\system32\smfv.exe not found.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 09272008_112110

tu me dices que hacer si hago otro kaspersky, o lo que indiques la compu bien estable y sin hacer cosas raras


Gracias .