holas a todos! este es mi primer post, asi que sorry si la embarro...
vamos al grano.

Llevo un tiempo con este computador (prestado) y el antivirus que tiene instalado (Symantec antivirus) me detecta el ya famoso rdriv.sys, mandandolo a la cuarentena y bloqueandolo. he pasado el nod32, y unos cuantos antivirus en linea, pero ninguno detecta nada raro, aparte de ciertas cookies turbias y otras cosillas de facil eliminacion. el problema es que el dichoso rdriv.sys hace saltar el antivirus cada 5 segundos, lo cual pasa a ser odioso. probe varios de los metodos aca descritos, pero aun esta alli. trate de reemplazarlo con un archivo "tonto" pero por un asunto de no alcanzar a cambiar los permisos de acceso, el virus es mas rápido que yo al modificarlo.
lo ultimo que hice, y es la causa de la consulta, fue ejecutar el services.msc y busque el proceso (que ahora no recuerdo) que hacen mencion en el foro, pero no lo encontre. Por curiosidad fui a ver el proceso "winnod.exe" que hace rato que lo tenia entre ceja y ceja, y comparando las propiedades con la ventana de informacion del antivirus, vi que al iniciarse este proceso, salta el antiv. con el rdriv.sys, y cualdo se borra el archivo, el proceso winnod se detiene, iniciandose un par de segundos despues y repitiendo el proceso, inicia winnod, salta antiv. con rdriv.sys y lo borra, detiene winnod (solo), pausa por dos segundos, inicia winnod y asi sucesivamente. de acuerdo a la info que encontre en google, el winnod.exe es un troyano y otros detalles mas. lo curioso es que el chistoso winnod se describe a si mismo como "virus protection" en el visor de servicios de windows. por ahora lo deshabilite y ya no salta el antivirus!

la consulta es que borro? que entradas del registro hay que buscar y matar, etc? y si hay alguna otra cosilla por ahi que se me haya pasado por alto.
aca va mi log del hijack (con el winnod.exe corriendo, lo voy a deshabilitar de nuevo en el services.msc)

Logfile of HijackThis v1.99.1
Scan saved at 10:23:53, on 17-01-2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe
C:\Archivos de programa\Symantec AntiVirus\SavRoam.exe
C:\WINNT\system32\stisvc.exe
C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\LTSMMSG.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\ARCHIV~1\SYMANT~1\VPTray.exe
C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\taskmgr.exe
C:\WINNT\explorer.exe
C:\WINNT\system32\ntvdm.exe
C:\WINNT\System32\svchost.exe
C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\mmc.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AWMON] "C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKLM\..\Run: [Trirot] Trirot.exe
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [DHCP Server] regsvr.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Archivos de programa\ZyXEL\ADSL USB Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [DXDllRegExe] C:\WINNT\system32\dxdllreg.exe
O4 - HKLM\..\RunServices: [DHCP Server] regsvr.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137098400743
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = unap.cl
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD65D171-8BA1-4337-80E9-9BADFF6B70A4}: NameServer = 146.83.152.3,146.83.152.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0909789-8A8D-44B2-A22B-8AEDD06F5AF9}: NameServer = 146.83.152.3,146.83.152.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = unap.cl
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = unap.cl
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: WindowsNod (WinNod) - Unknown owner - C:\WINNT\winnod.exe

Hola te doy la bienvenida al foro, no te olvides de pasar por WindowsUpdate periódicamente para tener actualizado el sistema, luego sigue estos pasos:

1.- Descarga la herramienta Rd-Kill.zip y descomprímela en el escritorio de Windows pero no la ejecutes aún.

2.- Activa la opción Ver Archivos Ocultos

3.- Reinicia en Modo a Prueba de Fallos

4.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

O4 - HKLM\..\Run: [DHCP Server] regsvr.exe

O4 - HKLM\..\RunServices: [DHCP Server] regsvr.exe

O23 - Service: WindowsNod (WinNod) - Unknown owner - C:\WINNT\winnod.exe

5.- Sin reiniciar, busca y elimina estos archivos, si no se dejan eliminar descarga el programa "Killbox" y sigue las indicaciones del mensaje, copia y pega los archivos para que los elimine al reiniciar.

regsvr.exe

C:\WINNT\winnod.exe

6.- Con todos los programas cerrados ejecutar el archivo Rd-Kill.exe, este va a abrir una ventana verde con la informacion del programa donde tienes que apretar cualquier tecla para que este continué y elimine el parásito.

7.- Pasa el Disk Cleaner para limpiar cookies y temporales

8.- Pasa el Regseeker para Limpiar el Registro, pásalo hasta q no quede nada para eliminar.

9.- Pasa el Ad-Aware SE actualizado e instala SpywareBlaster

10.- Reinicia la maquina y pega otro log de Hijackthis aqui mismo, luego nos cuentas como te fue.

De preferencia imprime las indicaciones para que se te haga mas facil seguirlas.

Saludos

todo ok!

mientras esperaba las instrucciones, pase el antivirus ewido online, el cual fue el unico que me detecto el winnod.exe como virus, archivo que me dejo eliminar al instante. sin embargo, igual segui las instrucciones para eliminar los restos que quedasen de los siameses rdriv.sys y winnod.exe . ahora voy a hacer una busqueda con el regseeker en el modo a prueba de fallos para eliminar los residuos del winnod y del rdriv.sys en el registro. en todo caso no me atrevo a hacer un scaneo completo, porque he dejado algunas aplicaciones sin funcionar cuando he eliminado claves, asi que sólo voy a borrar las específicas del winnod y rdriv.

Gracias por su ayuda!!!

aca el log

Logfile of HijackThis v1.99.1
Scan saved at 17:53:08, on 17-01-2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe
C:\WINNT\System32\svchost.exe
d:\ora9\bin\ORACLE.EXE
C:\WINNT\system32\HPZipm12.exe
C:\Archivos de programa\Symantec AntiVirus\SavRoam.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\System32\WFXSVC.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Archivos de programa\Symantec\WinFax\WFXMOD32.EXE
C:\WINNT\system32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINNT\Explorer.EXE
C:\WINNT\LTSMMSG.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\ARCHIV~1\SYMANT~1\VPTray.exe
C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
C:\WINNT\system32\Trirot.exe
C:\WINNT\system32\wfxsnt40.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
C:\WINNT\system32\internat.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AWMON] "C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKLM\..\Run: [Trirot] Trirot.exe
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137098400743
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = unap.cl
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD65D171-8BA1-4337-80E9-9BADFF6B70A4}: NameServer = 146.83.152.3,146.83.152.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0909789-8A8D-44B2-A22B-8AEDD06F5AF9}: NameServer = 146.83.152.3,146.83.152.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = unap.cl
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = unap.cl
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

Gracias por su ayuda!

Bien, el log está limpio así que damos el tema por solucionado

Saludos