Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

buenas gente, ando con un problemita de velocidad de internet tengo la empresa telecentro y jamas tube problemas desde hace unos dias notaba muy lenta la coneccional punto ke pasar una foto por msn era peor ke en la epoca del dial up (actualmente tengo un mega) llame a la empresa y me dijeron il cosas uno me dijo ke era un problema de la zona mia y bla bla otro me dijo ke fuer a llamando en la semana para ver si se solucionab hasta ke otro me hizo abrir desde ejecutar cmd e ingresar netstat -n y me salio ke tenia veintipico de coneccciones establecidas el flaco me dijo ke tenia ke tener dos o tres como maximo (obviamente con todo cerrado claro esta) haciendo los test de velocidad de distintas paginas algunas ni llegaban a arrancar con el test de speedtest.net me daba valores bajos el flaco me dijo ke tendria ke tener algun virus o algo mas actualice el antivirus lo pase y nada, pase el ccleaner encontro algunas cosas y las limpio despues pase el superantiespiware y encontro 5 cosas las limpio tmb ahora estoy tratando de pasar el kapersky online pero tarde una fortuna en descargarce los archivos lo unico ke olvide hacer es el entrar a modo a prueba de fallos despues de todo esto las conecciones activas disminuyeron pero por momentos esta relenta, vollvi a utilizar el comando netstat y me aparecieron 4 conecciones establecidas y tengo un monton ke dicens close, wait aca dejo la ultima lista ke me tiro

C:\Documents and Settings\Administrador>netstat -n

Conexiones activas

Proto Dirección local Dirección remota Estado
TCP 127.0.0.1:5152 127.0.0.1:3180 CLOSE_WAIT
TCP 190.55.58.36:1107 195.27.181.10:80 CLOSE_WAIT
TCP 190.55.58.36:1114 195.27.181.10:80 CLOSE_WAIT
TCP 190.55.58.36:1116 195.27.181.10:80 CLOSE_WAIT
TCP 190.55.58.36:1117 195.27.181.10:80 CLOSE_WAIT
TCP 190.55.58.36:1192 64.22.95.68:80 CLOSE_WAIT
TCP 190.55.58.36:1195 209.85.195.154:80 CLOSE_WAIT
TCP 190.55.58.36:1196 209.85.195.154:80 CLOSE_WAIT
TCP 190.55.58.36:1200 209.85.195.154:80 CLOSE_WAIT
TCP 190.55.58.36:1206 75.127.69.91:80 CLOSE_WAIT
TCP 190.55.58.36:1209 209.85.195.154:80 CLOSE_WAIT
TCP 190.55.58.36:1213 209.85.195.154:80 CLOSE_WAIT
TCP 190.55.58.36:1217 209.85.195.164:80 CLOSE_WAIT
TCP 190.55.58.36:1241 75.127.69.91:80 CLOSE_WAIT
TCP 190.55.58.36:1245 75.127.69.91:80 CLOSE_WAIT
TCP 190.55.58.36:1255 209.85.195.164:80 CLOSE_WAIT
TCP 190.55.58.36:1256 209.85.195.164:80 CLOSE_WAIT
TCP 190.55.58.36:1265 195.27.181.10:80 CLOSE_WAIT
TCP 190.55.58.36:1275 75.127.69.91:80 CLOSE_WAIT
TCP 190.55.58.36:1283 75.127.69.91:80 CLOSE_WAIT
TCP 190.55.58.36:3096 195.27.181.10:80 CLOSE_WAIT
TCP 190.55.58.36:3097 195.27.181.10:80 CLOSE_WAIT
TCP 190.55.58.36:3098 195.27.181.10:80 CLOSE_WAIT
TCP 190.55.58.36:3099 195.27.181.10:80 CLOSE_WAIT
TCP 190.55.58.36:3100 195.27.181.10:80 CLOSE_WAIT
TCP 190.55.58.36:3101 195.27.181.10:80 CLOSE_WAIT
TCP 190.55.58.36:3189 72.21.207.112:80 CLOSE_WAIT
TCP 190.55.58.36:3208 200.123.197.160:80 ESTABLISHED
TCP 190.55.58.36:3211 200.123.197.160:80 ESTABLISHED
TCP 190.55.58.36:3220 199.7.52.190:80 ESTABLISHED
TCP 190.55.58.36:3225 200.115.192.27:80 ESTABLISHED
TCP 190.55.58.36:3226 85.12.58.3:80 ESTABLISHED
TCP 190.55.58.36:3229 200.115.192.27:80 ESTABLISHED

C:\Documents and Settings\Administrador>

Hola rechonchete. Por favor, sigue estos pasos:

Para mayor comodidad, IMPRIME ESTA HOJA. Si no puedes hacer algún paso, lo saltas y continúas.

- Descarga y/o actualiza estas herramientas:
Dr. Web CureIt - Manual.
CCLEANER - Manual.
Malwarebytes' Anti-Malware - Manual.

- Ahora has esto:

• Apaga Restaurar sistema (System Restore).
• Reinicia en "Modo Seguro" (Si no puede iniciar en Modo Seguro, omite este paso).

- EJECUTA CCleaner - EJECUTA Dr. Web CureIt, primero realizando su examen rápido y luego el completo, eliminando todas las infecciones que encuentre.

- EJECUTA Malwarebytes' Anti-Malware. Seleccionas su opción de hacer un "escaneo completo". Cuando termine presiona la opción "quitar todo lo seleccionado".

- Pasas CCleaner nuevamente en su opción de limpiador.

- Realiza un Análisis Online con Kaspersky como lo indica su Manual. Si usas Mozilla Firefox recuerda usar la extensión IE Tab para poder realizar el escaneo online sugeridos anteriormente.

Reinicia y comenta que tal va tu PC, junto al reporte generado por Malwarebytes' Anti-Malware, Dr. Web CureIt y Kaspersky.

Saludos.

muchas gracias por el consejo, ahi trate de hacer todo al pie de la letra pero tube los siguientes inconvenientes:
al kerer iniciar en modo a prueba de fallos no me dejaba, mientras cargaba me aparece la pantalle azul de ke si agregue soft o hardware lo kite y bla bla por ende ya ke no habie hecho nada de eso lo hice a modo normal.
el restaurar sistema no se por ke lo tenia y desabilitado
pase el ccleaner y joya luego el drweb y tmb joya, volvi a pasar el ccleaner hasta ahi perfecto... no puedo utilizar el escaneo online de kapersky me tira un cartel ke dice ke no se puede ejecutar, ke necesito tener una coneccion ininterrumpida lo intente varias veces, al principio me empezabaa actualizar pero cuando estaba x terminar tiraba error y zas.. todo de vuelta, hasta ke directamente ya no arranca mas me da el mensaje ke antes nombre si lo hice con el de panda online y andubo joya, el cual encontro varias cosas ahora adjunto los resumenes de cada uno. abri el comando netstat -n y ahora solo me aparecen conecciones ke dicen close wait ninguna con el established

Microsoft Windows XP [Versión 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\Administrador>netstat -n

Conexiones activas

Proto Dirección local Dirección remota Estado
TCP 127.0.0.1:5152 127.0.0.1:1579 CLOSE_WAIT
TCP 190.55.58.36:1545 195.27.181.10:80 CLOSE_WAIT
TCP 190.55.58.36:1546 195.27.181.10:80 CLOSE_WAIT
TCP 190.55.58.36:1548 195.27.181.10:80 CLOSE_WAIT
TCP 190.55.58.36:1631 209.85.195.156:80 CLOSE_WAIT
TCP 190.55.58.36:1632 209.85.195.156:80 CLOSE_WAIT
TCP 190.55.58.36:1633 209.85.195.156:80 CLOSE_WAIT
TCP 190.55.58.36:1639 209.85.195.156:80 CLOSE_WAIT
TCP 190.55.58.36:1645 209.85.195.100:80 CLOSE_WAIT
TCP 190.55.58.36:1646 209.85.195.100:80 CLOSE_WAIT
TCP 190.55.58.36:1647 75.127.69.91:80 CLOSE_WAIT
TCP 190.55.58.36:1648 75.127.69.91:80 CLOSE_WAIT
TCP 190.55.58.36:1649 75.127.69.91:80 CLOSE_WAIT

C:\Documents and Settings\Administrador>


aca el del panda

;************************************************* ************************************************** ************************************************** ******************************
ANALYSIS: 2009-08-10 19:52:29
PROTECTIONS: 1
MALWARE: 13
SUSPECTS: 7
;************************************************* ************************************************** ************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;================================================= ================================================== ================================================== ==============================
ESET NOD32 antivirus system 2.70 2.70 Yes Yes
;================================================= ================================================== ================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;================================================= ================================================== ================================================== ==============================
00122168 Application/Restart HackTools No 0 Yes No E:\Nueva carpeta2\WINDOWS\system32\Tools\Restart.exe
00122168 Application/Restart HackTools No 0 Yes No C:\WINDOWS\system32\Tools\Restart.exe
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Documents and Settings\Administrador\Cookies\administrador@doubl eclick[1].txt
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Documents and Settings\Administrador\Cookies\administrador@doubl eclick[2].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Documents and Settings\Administrador\Cookies\administrador@atdmt[3].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Documents and Settings\Administrador\Cookies\administrador@atdmt[2].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Documents and Settings\Administrador\Cookies\administrador@ad.yi eldmanager[2].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Documents and Settings\Administrador\Cookies\administrador@ad.yi eldmanager[1].txt
00199231 HackTool/EvID HackTools No 0 Yes No E:\setups\[optimizar XP] TuneUp Utilities 2006 v5.0.2335 español KeyGen - 14 utilidades en total -mejora rendimiento Windows XP by PMJ.zip[09 EventID4226Patcher [amplia nº de conexiones Internet en Windows XP SP2].zip][EvID4226Patch.exe]
00343731 Application/CloseApp HackTools No 0 Yes No C:\System Volume Information\_restore{5D27F21F-10AF-4D7A-936C-872A599D03AC}\RP142\A0011459.exe
00343731 Application/CloseApp HackTools No 0 Yes No C:\Documents and Settings\Administrador\DoctorWeb\Quarantine\closea pp.exe
00535589 Application/CloseApp HackTools No 0 Yes No C:\Documents and Settings\Administrador\DoctorWeb\Quarantine\vimc.e xe
00535589 Application/CloseApp HackTools No 0 Yes No C:\System Volume Information\_restore{5D27F21F-10AF-4D7A-936C-872A599D03AC}\RP142\A0011456.exe
00914828 W32/Sohanat.AS.worm Virus/Worm No 1 No No C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows Live Mail\Gmail (alej 3e0\Sent Items\00294823-00000011.eml[Nod32-2.7-full-spanish.rar][nodlogin.rar][nodlogin.exe]
00914828 W32/Sohanat.AS.worm Virus/Worm No 1 No No E:\Nueva carpeta\detodo\Nod32-2.7-full-spanish.rar[nodlogin.rar][nodlogin.exe]
00914828 W32/Sohanat.AS.worm Virus/Worm No 1 No No C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows Live Mail\Gmail (alej 3e0\Sent Items\593D527A-00000010.eml[Nod32-2.7-full-spanish.rar][nodlogin.rar][nodlogin.exe]
00914828 W32/Sohanat.AS.worm Virus/Worm No 1 No No C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows Live Mail\Gmail (alej 3e0\Sent Items\69525F90-00000013.eml[~0000004.~][~0000000.~][Nod32-2.7-full-spanish.rar][nodlogin.rar][nodlogin.exe]
01892172 Generic Malware Virus/Trojan No 0 No No C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows Live Mail\Gmail (alej 3e0\Sent Items\00294823-00000011.eml[Nod32-2.7-full-spanish.rar][generador3.rar][generador.exe]
01892172 Generic Malware Virus/Trojan No 0 No No C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows Live Mail\Gmail (alej 3e0\Sent Items\593D527A-00000010.eml[Nod32-2.7-full-spanish.rar][generador3.rar][generador.exe]
01892172 Generic Malware Virus/Trojan No 0 No No E:\Nueva carpeta\detodo\Nod32-2.7-full-spanish.rar[generador3.rar][generador.exe]
01892172 Generic Malware Virus/Trojan No 0 No No C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows Live Mail\Gmail (alej 3e0\Sent Items\69525F90-00000013.eml[~0000004.~][~0000000.~][Nod32-2.7-full-spanish.rar][generador3.rar][generador.exe]
02426145 Trj/Agent.DPE Virus/Trojan No 1 No No F:\setups\craagle.rar[craagle\Craagle.exe]
02952704 Generic Trojan Virus/Trojan No 0 No No E:\Archivos de programa\eMule\Incoming\Bs Player Pro v2.27.959 Multilangages Incl-Keygen.rar[Keygen\Keygen (by Team CORE).exe]
03898922 Generic Malware Virus/Trojan No 0 Yes Yes E:\System Volume Information\_restore{5D27F21F-10AF-4D7A-936C-872A599D03AC}\RP141\A0010904.exe
03898933 Generic Trojan Virus/Trojan No 0 No No E:\Archivos de programa\eMule\Incoming\Big Pack Gameloft New All Last Update Dec2006.rar[GameLoft (New All Last Update)\Naval.Battle.Mission.Commander\Gameloft.Na val.Battle.Mission.Commander.v1.0.8.MULTI6.MOTOROL A.Vxxx.J2ME.RETAiL-CRDPDA\c930006a.rar][crude.exe]
03898933 Generic Trojan Virus/Trojan No 0 No No E:\Archivos de programa\eMule\Incoming\Big Pack Gameloft New All Last Update Dec2006.rar[GameLoft (New All Last Update)\Midnight.Casino\Gameloft.Midnight.Casino.v 1.1.6.MULTI6.MOTOROLA.Vxxx.J2ME.Retail-CRDPDA\cx30163a.rar][crude.exe]
03898933 Generic Trojan Virus/Trojan No 0 No No E:\Archivos de programa\eMule\Incoming\Big Pack Gameloft New All Last Update Dec2006.rar[GameLoft (New All Last Update)\Sexy.Vegas\Gameloft.Sexy.Vegas.v0.2.4.MULT I6.MOTOROLA.Vxxx.J2ME.Retail-CRDPDA\cx30166a.rar][crude.exe]
03898933 Generic Trojan Virus/Trojan No 0 No No E:\Archivos de programa\eMule\Incoming\Big Pack Gameloft New All Last Update Dec2006.rar[GameLoft (New All Last Update)\Diamond.Rush\Gameloft.Diamond.Rush.v1.0.8. MOTOROLA.Vxxx.J2ME.Retail-CRDPDA\cx30165a.rar][crude.exe]
03898933 Generic Trojan Virus/Trojan No 0 No No E:\Archivos de programa\eMule\Incoming\Big Pack Gameloft New All Last Update Dec2006.rar[GameLoft (New All Last Update)\The.O.C\Gameloft.The.O.C.v1.0.7.MOTOROLA.V xxx.J2ME.Retail-CRDPDA\cx30164a.rar][crude.exe]
;================================================= ================================================== ================================================== ==============================
SUSPECTS
Sent Location k@
;================================================= ================================================== ================================================== ==============================
No E:\Archivos de programa\eMule\Incoming\FIXED Plugins (SoundFont Player, DrumSynth Live, WASP, DX10, SimSynth Live).rar[FIXED Plugins (SoundFont Player, DrumSynth Live, WASP, DX10, SimSynth Live)\Fruity DX10\Fruity DX10.dll]
No E:\RECYCLER\S-1-5-21-220523388-1383384898-839522115-500\Dg221.exe[Ares.exe] k@
No E:\setups\Validar_Windows_XP_Original\ViewKeyXP.ex e k@
No E:\setups\Validar_Windows_XP_Original.rar[Validar_Windows_XP_Original\ViewKeyXP.exe] k@
No F:\escritorio\Nueva carpeta\P2K_Easy_Tool_v3.9.rar[P2K Easy Tool v39\P2K Easy Tool v39\winscard.dll] k@
No F:\setups\cragle.zip[Craggle v2.0.exe] k@
No F:\setups\DivXPlay.exe k@
;================================================= ================================================== ================================================== ==============================
VULNERABILITIES
Id Severity Description k@
;================================================= ========


aca el del drweb

3LCKNPDA.NQF C:\Archivos de programa\Eset\infected Win32HLLW.Autoruner.6010 Incurable.Movido.

40MPI4DA.NQF C:\Archivos de programa\Eset\infected Win32.HLLW.Siggen.73 Incurable.Movido.
A4C44QDA.NQF C:\Archivos de programa\Eset\infected Win32.HLLW.Autohit.3438 Incurable.Movido.
DLPK2VDA.NQF C:\Archivos de programa\Eset\infected Tool.CrackSearch Incurable.Movido.
MPJTYPBA.NQF C:\Archivos de programa\Eset\infected Win32.HLLW.Autohit.3438 Incurable.Movido.
DMCFileSelector.exe C:\Archivos de programa\Illustrate\dBpoweramp Trojan.Swizzor.based Eliminado.
main.js C:\Archivos de programa\Messenger Plus! Live\Scripts\Now Playing probablemente SCRIPT.Virus Incurable.Movido.
spywareblaster.exe C:\Archivos de programa\SpywareBlaster Trojan.Packed.149 Eliminado.
vncviewer.exe C:\Archivos de programa\UltraVNC Program.RemoteAdmin.37 Incurable.Movido.
A0011453.exe C:\System Volume Information\_restore{5D27F21F-10AF-4D7A-936C-872A599D03AC}\RP142 Trojan.Swizzor.based Eliminado.
A0011454.exe C:\System Volume Information\_restore{5D27F21F-10AF-4D7A-936C-872A599D03AC}\RP142 Trojan.Packed.149 Eliminado.
closeapp.exe C:\WINDOWS\system32 Tool.CloseApp Incurable.Movido.
cmdow.exe C:\WINDOWS\system32 Tool.HideWindows - error de lectura Ruta no válida al archivo
vimc.exe\data006 C:\WINDOWS\system32\vimc.exe Tool.CloseApp
vimc.exe C:\WINDOWS\system32 Archivo comprimido contiene objetos infectados Movido.
driver detective 6.3.1.0 free download.exe\crack.exe E:\setups\serials y cracks\driver detective 6.3.1.0 free download.exe Trojan.Virtumod.240
driver detective 6.3.1.0 free download.exe E:\setups\serials y cracks Archivo comprimido contiene objetos infectados Movido.
A0011457.exe\crack.exe E:\System Volume Information\_restore{5D27F21F-10AF-4D7A-936C-872A599D03AC}\RP142\A0011457.exe Trojan.Virtumod.240
A0011457.exe E:\System Volume Information\_restore{5D27F21F-10AF-4D7A-936C-872A599D03AC}\RP142 Archivo comprimido contiene objetos infectados Movido.


aca el de malwarebytes

Malwarebytes' Anti-Malware 1.40
Versión de la Base de Datos: 2589
Windows 5.1.2600 Service Pack 3

10/08/2009 07:24:44 a.m.
mbam-log-2009-08-10 (07-24-37).txt

Tipo de examen : Examen Completo (C:\|E:\|F:\|)
Objetos examinados: 192075
Tiempo transcurrido: 1 hour(s), 11 minute(s), 7 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 1
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\Explorer\ForceClassicControlPan el (Hijack.ControlPanelStyle) -> No action taken.

Elementos de Datos del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)

Hola de nuevo.

Descarga OTM y lo guardas en el Escritorio.

• Haz doble clic sobre el icono OTM.exe para ejecutarlo.
  
• Asegúrate que este marcado "Unregister Dll's and Ocx's".
  
• Copia el texto que se encuentra en el cuadrado más abajo, y pégalo o en el marco de izquierdo de OTMoveIt nombrado Paste List of Filas / Folders to be moved.

Haz clic en el boto rojo MoveIt! para lanzar la supresión.

• Espera hasta cuando el resultado aparezca en el marco Results.
• Permite que se reinicie el equipo, esto es importante.

Envía el informe (reporte) de OTM situado sobre C: \ _OTM\MovedFiles\***_***.log

Saludos, comenta como va ahora tu PC.

segui al pie de la letra tus intrucciones aca esta el log
All processes killed
========== FILES ==========
E:\Nueva carpeta2\WINDOWS\system32\Tools\Restart.exe moved successfully.
C:\WINDOWS\system32\Tools\Restart.exe moved successfully.
E:\setups\[optimizar XP] TuneUp Utilities 2006 v5.0.2335 español KeyGen - 14 utilidades en total -mejora rendimiento Windows XP by PMJ.zip moved successfully.
C:\System Volume Information\_restore{5D27F21F-10AF-4D7A-936C-872A599D03AC}\RP142\A0011459.exe moved successfully.
C:\System Volume Information\_restore{5D27F21F-10AF-4D7A-936C-872A599D03AC}\RP142\A0011456.exe moved successfully.
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows Live Mail\Gmail (alej 3e0\Sent Items\00294823-00000011.eml moved successfully.
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows Live Mail\Gmail (alej 3e0\Sent Items\593D527A-00000010.eml moved successfully.
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows Live Mail\Gmail (alej 3e0\Sent Items\69525F90-00000013.eml moved successfully.
File/Folder C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows Live Mail\Gmail (alej 3e0\Sent Items\00294823-00000011.eml not found.
File/Folder C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows Live Mail\Gmail (alej 3e0\Sent Items\593D527A-00000010.eml not found.
E:\Nueva carpeta\detodo\Nod32-2.7-full-spanish.rar moved successfully.
File/Folder C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows Live Mail\Gmail (alej 3e0\Sent Items\69525F90-00000013.eml not found.
F:\setups\craagle.rar moved successfully.
E:\Archivos de programa\eMule\Incoming\Bs Player Pro v2.27.959 Multilangages Incl-Keygen.rar moved successfully.
E:\System Volume Information\_restore{5D27F21F-10AF-4D7A-936C-872A599D03AC}\RP141\A0010904.exe moved successfully.
E:\Archivos de programa\eMule\Incoming\Big Pack Gameloft New All Last Update Dec2006.rar moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrador
->Temp folder emptied: 247872657 bytes
File delete failed. C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 4755962 bytes
->Java cache emptied: 226343 bytes
->FireFox cache emptied: 45658563 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 247220 bytes
->Temporary Internet Files folder emptied: 460656 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134225 bytes
%systemroot%\System32 .tmp files removed: 744029 bytes
Windows Temp folder emptied: 14604473 bytes
RecycleBin emptied: 71224970 bytes

Total Files Cleaned = 370,02 mb


OTM by OldTimer - Version 3.0.0.6 log created on 08112009_191427

Files moved on Reboot...

Registry entries deleted on Reboot...



y el netstat me tira lo siguiente
C:\Documents and Settings\Administrador>netstat -n

Conexiones activas

Proto Dirección local Dirección remota Estado
TCP 127.0.0.1:1222 127.0.0.1:5152 TIME_WAIT
TCP 127.0.0.1:1223 127.0.0.1:5152 TIME_WAIT
TCP 127.0.0.1:1224 127.0.0.1:5152 TIME_WAIT
TCP 127.0.0.1:1225 127.0.0.1:5152 TIME_WAIT
TCP 127.0.0.1:1226 127.0.0.1:5152 TIME_WAIT
TCP 127.0.0.1:1227 127.0.0.1:5152 TIME_WAIT
TCP 127.0.0.1:1228 127.0.0.1:5152 TIME_WAIT
TCP 127.0.0.1:1229 127.0.0.1:5152 TIME_WAIT
TCP 127.0.0.1:1230 127.0.0.1:5152 TIME_WAIT
TCP 127.0.0.1:1232 127.0.0.1:5152 TIME_WAIT
TCP 127.0.0.1:1233 127.0.0.1:5152 FIN_WAIT_2
TCP 127.0.0.1:1234 127.0.0.1:5152 FIN_WAIT_2
TCP 127.0.0.1:5152 127.0.0.1:1233 CLOSE_WAIT
TCP 127.0.0.1:5152 127.0.0.1:1234 CLOSE_WAIT
TCP 190.55.58.36:1238 200.123.197.137:80 ESTABLISHED
TCP 190.55.58.36:1239 70.38.68.241:80 CLOSE_WAIT
TCP 190.55.58.36:1250 70.38.68.241:80 CLOSE_WAIT
TCP 190.55.58.36:1252 70.38.68.241:80 CLOSE_WAIT
TCP 190.55.58.36:1258 209.85.195.165:80 ESTABLISHED
TCP 190.55.58.36:1283 209.85.195.165:80 ESTABLISHED
TCP 190.55.58.36:1291 209.85.195.99:80 ESTABLISHED
TCP 190.55.58.36:1306 209.85.195.99:80 ESTABLISHED
TCP 190.55.58.36:1308 209.85.195.99:80 ESTABLISHED
TCP 190.55.58.36:1313 209.85.195.165:80 ESTABLISHED
TCP 190.55.58.36:1324 209.85.195.156:80 ESTABLISHED
TCP 190.55.58.36:1326 70.38.68.241:80 CLOSE_WAIT
TCP 190.55.58.36:1327 70.38.68.241:80 CLOSE_WAIT
TCP 190.55.58.36:1328 70.38.68.241:80 CLOSE_WAIT
TCP 190.55.58.36:1330 70.38.68.241:80 CLOSE_WAIT
TCP 190.55.58.36:1331 70.38.68.241:80 CLOSE_WAIT
TCP 190.55.58.36:1332 70.38.68.241:80 CLOSE_WAIT
TCP 190.55.58.36:1341 209.85.195.156:80 ESTABLISHED
TCP 190.55.58.36:1360 70.38.68.241:80 CLOSE_WAIT
TCP 190.55.58.36:1363 70.38.68.241:80 CLOSE_WAIT
TCP 190.55.58.36:1365 209.85.195.156:80 ESTABLISHED
TCP 190.55.58.36:1375 209.85.195.102:80 ESTABLISHED
TCP 190.55.58.36:1378 209.85.195.156:80 ESTABLISHED
TCP 190.55.58.36:1390 209.85.195.156:80 ESTABLISHED
TCP 190.55.58.36:1392 209.85.195.156:80 ESTABLISHED
TCP 190.55.58.36:1396 70.38.68.241:80 CLOSE_WAIT
TCP 190.55.58.36:1397 70.38.68.241:80 CLOSE_WAIT
TCP 190.55.58.36:1398 70.38.68.241:80 CLOSE_WAIT
TCP 190.55.58.36:1399 70.38.68.241:80 CLOSE_WAIT
TCP 190.55.58.36:1401 70.38.68.241:80 CLOSE_WAIT
TCP 190.55.58.36:1403 70.38.68.241:80 CLOSE_WAIT
TCP 190.55.58.36:1404 70.38.68.241:80 CLOSE_WAIT
TCP 190.55.58.36:1406 209.85.195.165:80 ESTABLISHED
TCP 190.55.58.36:1408 209.85.195.156:80 ESTABLISHED
TCP 190.55.58.36:1409 209.85.195.102:80 ESTABLISHED
TCP 190.55.58.36:1410 209.85.195.156:80 ESTABLISHED
TCP 190.55.58.36:1412 209.85.195.156:80 ESTABLISHED
TCP 190.55.58.36:1424 209.85.195.102:80 ESTABLISHED
TCP 190.55.58.36:1425 209.85.195.102:80 ESTABLISHED
TCP 190.55.58.36:1438 209.85.195.165:80 ESTABLISHED
TCP 190.55.58.36:1440 209.85.195.156:80 ESTABLISHED
TCP 190.55.58.36:1452 209.85.195.165:80 ESTABLISHED
TCP 190.55.58.36:1453 209.85.195.165:80 ESTABLISHED
TCP 190.55.58.36:1454 75.127.69.91:80 CLOSE_WAIT
TCP 190.55.58.36:1455 75.127.69.91:80 CLOSE_WAIT
TCP 190.55.58.36:1456 75.127.69.91:80 CLOSE_WAIT
TCP 190.55.58.36:1486 209.85.195.102:80 ESTABLISHED
TCP 190.55.58.36:1495 70.38.68.241:80 CLOSE_WAIT
TCP 190.55.58.36:1496 75.127.69.91:80 CLOSE_WAIT
TCP 190.55.58.36:1497 70.38.68.241:80 CLOSE_WAIT
TCP 190.55.58.36:1498 75.127.69.91:80 CLOSE_WAIT
TCP 190.55.58.36:1499 75.127.69.91:80 CLOSE_WAIT
TCP 190.55.58.36:1500 70.38.68.241:80 CLOSE_WAIT
TCP 190.55.58.36:1503 209.85.195.102:80 ESTABLISHED
TCP 190.55.58.36:1504 209.85.195.102:80 ESTABLISHED
TCP 190.55.58.36:1506 209.85.195.102:80 ESTABLISHED
TCP 190.55.58.36:1509 195.27.181.10:80 ESTABLISHED
TCP 190.55.58.36:1510 209.85.195.102:80 ESTABLISHED
TCP 190.55.58.36:1511 209.85.195.102:80 ESTABLISHED

C:\Documents and Settings\Administrador>n

Ahora, debes eliminar el OTM de la siguiente manera:

º Descarga OTC.exe en el escritorio.

º Lo ejecutas y presionas Cleanup.

Eso eliminará la a OTM, su cuarentena del OTM y a OTC.exe

Realiza un scan online y luego comenta como esta andando. Saludos.

hola nuevamente ahi hice lo ke me pedistes y tmb el scaneo online, nuevamente tubo ke ser con el panda, el kapersky no hay caso no lo puedo usar
la pc anda mucho mejor
;************************************************* ************************************************** ************************************************** ******************************
ANALYSIS: 2009-08-12 20:19:34
PROTECTIONS: 1
MALWARE: 6
SUSPECTS: 8
;************************************************* ************************************************** ************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;================================================= ================================================== ================================================== ==============================
ESET NOD32 antivirus system 2.70 2.70 Yes Yes
;================================================= ================================================== ================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;================================================= ================================================== ================================================== ==============================
00122168 Application/Restart HackTools No 0 Yes No C:\System Volume Information\_restore{5D27F21F-10AF-4D7A-936C-872A599D03AC}\RP144\A0012471.exe
00122168 Application/Restart HackTools No 0 Yes No C:\System Volume Information\_restore{5D27F21F-10AF-4D7A-936C-872A599D03AC}\RP144\A0012475.exe
00122168 Application/Restart HackTools No 0 Yes No E:\System Volume Information\_restore{5D27F21F-10AF-4D7A-936C-872A599D03AC}\RP144\A0011494.exe
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Documents and Settings\Administrador\Cookies\administrador@doubl eclick[3].txt
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Documents and Settings\Administrador\Cookies\administrador@doubl eclick[2].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Documents and Settings\Administrador\Cookies\administrador@atdmt[3].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Documents and Settings\Administrador\Cookies\administrador@atdmt[1].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Documents and Settings\Administrador\Cookies\administrador@ad.yi eldmanager[2].txt
00343731 Application/CloseApp HackTools No 0 Yes No C:\System Volume Information\_restore{5D27F21F-10AF-4D7A-936C-872A599D03AC}\RP144\A0012473.exe
00343731 Application/CloseApp HackTools No 0 Yes No C:\Documents and Settings\Administrador\DoctorWeb\Quarantine\closea pp.exe
00535589 Application/CloseApp HackTools No 0 Yes No C:\Documents and Settings\Administrador\DoctorWeb\Quarantine\vimc.e xe
00535589 Application/CloseApp HackTools No 0 Yes No C:\System Volume Information\_restore{5D27F21F-10AF-4D7A-936C-872A599D03AC}\RP144\A0012472.exe
;================================================= ================================================== ================================================== ==============================
SUSPECTS
Sent Location "
;================================================= ================================================== ================================================== ==============================
No C:\RECYCLER\S-1-5-21-220523388-1383384898-839522115-500\Df3.exe "
No E:\Archivos de programa\eMule\Incoming\FIXED Plugins (SoundFont Player, DrumSynth Live, WASP, DX10, SimSynth Live).rar[FIXED Plugins (SoundFont Player, DrumSynth Live, WASP, DX10, SimSynth Live)\Fruity DX10\Fruity DX10.dll]
No E:\RECYCLER\S-1-5-21-220523388-1383384898-839522115-500\Dg221.exe[Ares.exe] "
No E:\setups\Validar_Windows_XP_Original\ViewKeyXP.ex e "
No E:\setups\Validar_Windows_XP_Original.rar[Validar_Windows_XP_Original\ViewKeyXP.exe] "
No F:\escritorio\Nueva carpeta\P2K_Easy_Tool_v3.9.rar[P2K Easy Tool v39\P2K Easy Tool v39\winscard.dll] "
No F:\setups\cragle.zip[Craggle v2.0.exe] "
No F:\setups\DivXPlay.exe "
;================================================= ================================================== ================================================== ==============================
VULNERABILITIES
Id Severity Description "

Hola de nuevo.

Realiza los siguiente:

Descarga The Avenger y lo guardas en el escritorio.

• Descomprime Avenger.zip
• Doble click sobre Avenger.exe
• Click en "Aceptar"
• En el Recuadro Blanco que esta debajo de "Input Scrip here"
o Copia y pega el siguiente código:
• Verificar que la Casilla de "Scan for rootkit",esté marcada
• Click sobre "Execute", Click en "Aceptar"
• Tu PC será reiniciada, esto es normal.
• Al Reiniciar Avenger será generado un reporte, copiar y pegar aquí el contenido de este.

Ejecutar Flash_Disinfector.exe en el PC y luego Colocar el Pendrive en el puerto USB y ejecutarlo nuevamente.

aca esta el log, tube ke hacerlo en modo normal no hay caso no puedo iniciuiarña en modo a prueba de fallos cuando esta cargando me tira el pantallazo azul de error



Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\System Volume Information\_restore{5D27F21F-10AF-4D7A-936C-872A599D03AC}\RP144\A0012471.exe" deleted successfully.
File "C:\System Volume Information\_restore{5D27F21F-10AF-4D7A-936C-872A599D03AC}\RP144\A0012475.exe" deleted successfully.
File "E:\System Volume Information\_restore{5D27F21F-10AF-4D7A-936C-872A599D03AC}\RP144\A0011494.exe" deleted successfully.
File "C:\System Volume Information\_restore{5D27F21F-10AF-4D7A-936C-872A599D03AC}\RP144\A0012473.exe" deleted successfully.
File "C:\System Volume Information\_restore{5D27F21F-10AF-4D7A-936C-872A599D03AC}\RP144\A0012472.exe" deleted successfully.
File "C:\RECYCLER\S-1-5-21-220523388-1383384898-839522115-500\Df3.exe" deleted successfully.
File "E:\Archivos de programa\eMule\Incoming\FIXED Plugins (SoundFont Player, DrumSynth Live, WASP, DX10, SimSynth Live).rar" deleted successfully.
File "E:\RECYCLER\S-1-5-21-220523388-1383384898-839522115-500\Dg221.exe" deleted successfully.
File "E:\setups\Validar_Windows_XP_Original\ViewKeyXP.e xe" deleted successfully.
File "E:\setups\Validar_Windows_XP_Original.rar" deleted successfully.
File "F:\escritorio\Nueva carpeta\P2K_Easy_Tool_v3.9.rar" deleted successfully.
File "F:\setups\cragle.zip" deleted successfully.
File "F:\setups\DivXPlay.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Realiza un nuevo scan online, y hace lo indicado aqui. en caso de no funcionar con el CD de Windows intenta reparar el sistema (no perderás información).


Saludos.