Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Ya le he pasado el Kaspersky y me ha detectado 8 virus. Los 7 primeros virus son de la cuarentena del antivirus, que ya he borrado. El que no tengo ni idea de que es el último, "c:\windows\system32\TFTP1516". He mirado en esa carpeta y aparecen otros 15 archivos parecidos a este, de entre 0 y 44 bytes, además de otro archivo "tftp.exe". Le he pasado el NOD32 a la carpeta "c:\windows" y no ha encontrado nada...

Aqui pongo el log del Kaspersky:


Sunday, March 05, 2006 3:53:26 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 5/03/2006
Kaspersky Anti-Virus database records: 169291
Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true
Scan Target My Computer
A:\
C:\
E:\
H:\
X:\
Scan Statistics
Total number of scanned objects 126695
Number of viruses found 4
Number of infected objects 8
Number of suspicious objects 0
Duration of the scan process 03:41:43

Infected Object Name Virus Name Last Action
C:\Archivos de programa\Eset\infected\BUF5NUDA.NQF Infected: Trojan.Win32.Dialer.gd skipped
C:\Archivos de programa\Eset\infected\JN1OA3AA.NQF Infected: Trojan.Win32.Dialer.gd skipped
C:\Archivos de programa\Eset\infected\L0WY0ZAA.NQF Infected: Trojan-Downloader.Win32.Agent.er skipped
C:\Archivos de programa\Eset\infected\LPVIMFBA.NQF Infected: Trojan.Win32.Dialer.gd skipped
C:\Archivos de programa\Eset\infected\PTENFPCA.NQF Infected: Trojan-Downloader.Win32.IstBar.gt skipped
C:\Archivos de programa\Eset\infected\PWRTF4BA.NQF Infected: Trojan.Win32.Dialer.gd skipped
C:\Archivos de programa\Eset\infected\UE0WECBA.NQF Infected: Trojan.Win32.Dialer.gd skipped
C:\WINDOWS\system32\TFTP1516 Infected: Backdoor.Win32.Rbot.fq skipped
Scan process completed.


------------------------------------------------------------------------------------------------------------


Aqui pongo el log del Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 16:26:10, on 05/03/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Archivos de programa\WMonitor\WLService.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\WMonitor\WLanCfgG.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
c:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe
C:\Archivos de programa\Support.com\bin\tgcmd.exe
C:\Archivos de programa\WMonitor\InfoMyCa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Archivos de programa\AVerTV2K\QuickTV.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService.exe
C:\WINDOWS\system32\UAService7.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.planetdan.net/pics/misc/georgie.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = nscbest1.rs1.nuria.telefonica-data.net:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [hcenter] "C:\Archivos de programa\Support.com\bin\tgcmd.exe" /server /startmonitor
O4 - HKLM\..\Run: [Getca] C:\Archivos de programa\WMonitor\InfoMyCa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: QuickTV.lnk = C:\Archivos de programa\AVerTV2K\QuickTV.exe
O4 - Global Startup: TeleSA.lnk = C:\Archivos de programa\AVer Teletext\AVerSA.exe
O8 - Extra context menu item: Descargar TODO con FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Descargar usando FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {1F831FA6-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Archivos de programa\AutoCAD 2002 Esp\InstFred.ocx
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Control de AcDcToday) - file://C:\Archivos de programa\AutoCAD 2002 Esp\AcDcToday.ocx
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {AE563726-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Archivos de programa\AutoCAD 2002 Esp\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Control AcPreview) - file://C:\Archivos de programa\AutoCAD 2002 Esp\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C793225-349D-4CD7-B6D1-56AD179D4294}: NameServer = 194.179.1.100,194.179.1.101
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: 54Mbps Wireless Network Service (54Mbps Wireless Network) - Unknown owner - C:\Archivos de programa\WMonitor\WLService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SecuROM User Access Service (UserAccess) - Unknown owner - C:\WINDOWS\system32\UAService.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe


------------------------------------------------------------------------------------------------------------


Después de hacer todos esto, parece que el PC va algo mejor, pero sigue sin funcionar como antes. Para iniciar Windows sigue tardando 3 veces más que antes.
Además de esto, tengo otra pregunta, ¿Qué puede ocurrir si borro algo del registro que no debo? ¿En cualquier caso se podría reiniciar el equipo y restaurar el registro? ¿es seguro borrar todas las entradas que da el RegSeeker? Es que el manual no me a aclarado muchas dudas...

Muchas gracias...

No se preocupe de limpiar el registro ya que es necesario, comprendo que al principio todos dudamos sobre que puede pasar si elimino algo indebido del registro de Windows.

Si no me he confundido le he dicho que limpie el registro con dos limpiadores de registro, utilicelos sin miedo, no se preocupe pero para que ud. este mas tranquilo siga estos pasos para hacer una copia del registro de windows por favor.

Bien, despues de aclararle las dudas sobre si debe limpiar el registro de Windows por favor, analiza en Virus Total los siguientes archivos y luego nos pone aqui los resultados.

C:\WINDOWS\system32\TFTP1516

Limpie la Quarentena del Nod32 y luego limpie el registro con los dos limpiadores que le he proporcionado.

Luego descarge la herramienta Mwav.exe y déjenos un log de esta herramienta. Sólo copie las entradas reconocidas como infectadas. ( Las que ponen refers to invalid object no hace falta que las ponga )

Saludos

Tal y como me dijo, he borrado las entradas de registro con CCleaner y RegSeeker. El CCleaner lo tuve que pasar 3 veces pero quedo todo limpito. El RegSeeker también lo tuve que pasar 3 veces.

En cuanto al archivo "C:\WINDOWS\system32\TFTP1516" aqui están los resultados que me dio Total Virus:

Antivirus Version Actualización Resultado
AntiVir 6.33.1.53 06.03.2006 no ha encontrado virus
Avast 4.6.695.0 06.03.2006 no ha encontrado virus
AVG 718 06.03.2006 no ha encontrado virus
Avira 6.33.1.53 06.03.2006 no ha encontrado virus
BitDefender 7.2 06.03.2006 no ha encontrado virus
CAT-QuickHeal 8.00 06.03.2006 no ha encontrado virus
ClamAV devel-20060126 06.03.2006 no ha encontrado virus
DrWeb 4.33 06.03.2006 no ha encontrado virus
eTrust-InoculateIT 23.71.94 05.03.2006 no ha encontrado virus
eTrust-Vet 12.4.2106 06.03.2006 no ha encontrado virus
Ewido 3.5 06.03.2006 no ha encontrado virus
Fortinet 2.71.0.0 06.03.2006 suspicious
F-Prot 3.16c 03.03.2006 no ha encontrado virus
Ikarus 0.2.59.0 06.03.2006 no ha encontrado virus
Kaspersky 4.0.2.24 06.03.2006 Backdoor.Win32.Rbot.fq
McAfee 4711 06.03.2006 no ha encontrado virus
NOD32v2 1.1432 06.03.2006 no ha encontrado virus
Norman 5.70.10 06.03.2006 no ha encontrado virus
Panda 9.0.0.4 06.03.2006 no ha encontrado virus
Sophos 4.03.0 06.03.2006 no ha encontrado virus
Symantec 8.0 06.03.2006 no ha encontrado virus
TheHacker 5.9.5.107 06.03.2006 no ha encontrado virus
UNA 1.83 02.03.2006 no ha encontrado virus
VBA32 3.10.5 06.03.2006 no ha encontrado virus



En cuanto al Mwav.exe me dio los siguientes resultados. Los he limpiado un poco porque el log que me daba era inmenso:

Tue Mar 07 21:46:52 2006 => ************************************************** ********
Tue Mar 07 21:46:52 2006 => MicroWorld Anti Virus & Spyware Toolkit Utility.
Tue Mar 07 21:46:52 2006 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Tue Mar 07 21:46:52 2006 => ************************************************** ********
Tue Mar 07 21:46:52 2006 => Source: X:\CD_VARIADOS\VIRUS\mwav.exe
Tue Mar 07 21:46:52 2006 => Version 8.1.9 (C:\DOCUME~1\DAVID\CONFIG~1\Temp\mexe.com)
Tue Mar 07 21:46:52 2006 => Log File: C:\DOCUME~1\DAVID\CONFIG~1\Temp\MWAV.LOG
Tue Mar 07 21:46:52 2006 => MWAV Registered: FALSE.
Tue Mar 07 21:46:52 2006 => OS Type: Windows Workstation
Tue Mar 07 21:46:52 2006 => Local Fixed Drives: c:\,x:\
Tue Mar 07 21:46:52 2006 => MWAV Mode: Only Scan files.
Tue Mar 07 21:46:52 2006 => Latest Date of files inside MWAV: 03 Mar 2006 08:13:45.
Tue Mar 07 21:46:52 2006 => Regvalue RestrictAnonymous Reset. This could be part of a worm!!!
Tue Mar 07 21:46:56 2006 => AV Library Loaded...
Tue Mar 07 21:46:56 2006 => MWAV doing self scanning...
Tue Mar 07 21:46:56 2006 => Scanning File C:\DOCUME~1\DAVID\CONFIG~1\Temp\kavss.exe
Tue Mar 07 21:46:56 2006 => Scanning File C:\DOCUME~1\DAVID\CONFIG~1\Temp\Getvlist.exe
Tue Mar 07 21:46:56 2006 => Scanning File C:\DOCUME~1\DAVID\CONFIG~1\Temp\kavss.dll
Tue Mar 07 21:46:56 2006 => Scanning File C:\DOCUME~1\DAVID\CONFIG~1\Temp\kavssdi.dll
Tue Mar 07 21:46:56 2006 => Scanning File C:\DOCUME~1\DAVID\CONFIG~1\Temp\kavssi.dll
Tue Mar 07 21:46:56 2006 => Scanning File C:\DOCUME~1\DAVID\CONFIG~1\Temp\kavvlg.dll
Tue Mar 07 21:46:56 2006 => Scanning File C:\DOCUME~1\DAVID\CONFIG~1\Temp\msvlclnt.dll
Tue Mar 07 21:46:56 2006 => Scanning File C:\DOCUME~1\DAVID\CONFIG~1\Temp\ipc.dll
Tue Mar 07 21:46:56 2006 => Scanning File C:\DOCUME~1\DAVID\CONFIG~1\Temp\main.avi
Tue Mar 07 21:46:56 2006 => Scanning File C:\DOCUME~1\DAVID\CONFIG~1\Temp\virus.avi
Tue Mar 07 21:46:56 2006 => MWAV files are clean.
Tue Mar 07 21:47:05 2006 => Fecha de Base de Datos de Virus: 3/3/2006
Tue Mar 07 21:47:05 2006 => Conteo de Base de Datos de Virus: 179848
Tue Mar 07 21:47:27 2006 => Downloading AntiVirus Databases...
Tue Mar 07 21:48:02 2006 => Downloads Successful...
Tue Mar 07 21:48:05 2006 => Indexed Spyware Databases Successfully Created...
Tue Mar 07 21:48:07 2006 => Reload of AntiVirus Signatures successfully done.
Tue Mar 07 21:48:07 2006 => Fecha de Base de Datos de Virus: 3/7/2006
Tue Mar 07 21:48:07 2006 => Conteo de Base de Datos de Virus: 176675
Tue Mar 07 21:48:08 2006 => Downloading AntiVirus Databases...
Tue Mar 07 21:48:10 2006 => Nothing new to download. Updates are latest.

Tue Mar 07 21:48:17 2006 => ************************************************** ********
Tue Mar 07 21:48:17 2006 => Herramientas eScan Antivirus.
Tue Mar 07 21:48:17 2006 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Tue Mar 07 21:48:17 2006 =>
Tue Mar 07 21:48:17 2006 => Soporte: support@mwti.net
Tue Mar 07 21:48:17 2006 => Web: http://www.mwti.net
Tue Mar 07 21:48:17 2006 => ************************************************** ********
Tue Mar 07 21:48:17 2006 => Version 8.1.9
Tue Mar 07 21:48:17 2006 => Archivo de Registro: C:\DOCUME~1\DAVID\CONFIG~1\Temp\MWAV.LOG
Tue Mar 07 21:48:17 2006 => User Account: DAVID
Tue Mar 07 21:48:17 2006 => Windows Root Folder: C:\WINDOWS
Tue Mar 07 21:48:17 2006 => Windows Sys32 Folder: C:\WINDOWS\system32
Tue Mar 07 21:48:17 2006 => OS: Windows XP
Tue Mar 07 21:48:17 2006 => Ultima fecha de Archivos dentro de MWAV: 07 Mar 2006 21:12:58.

Tue Mar 07 21:48:17 2006 => Opciones seleccionadas por el usuario:
Tue Mar 07 21:48:17 2006 => Chequeo de Memoria: Habilitado
Tue Mar 07 21:48:17 2006 => Chequeo de Registro: Habilitado
Tue Mar 07 21:48:17 2006 => Chequeo de Carpeta de Inicio: Habilitado
Tue Mar 07 21:48:17 2006 => Chequeo de Carpeta de Sistema: Habilitado
Tue Mar 07 21:48:17 2006 => Chequeo de área de Sistema: Deshabilitado
Tue Mar 07 21:48:17 2006 => Chequeo de Servicios: Habilitado
Tue Mar 07 21:48:17 2006 => Opción de Chequeo de Unidad deshabilitada.
Tue Mar 07 21:48:17 2006 => Chequeo de Carpeta: Deshabilitado

Tue Mar 07 21:48:45 2006 => ***** Examinando Archivos de Servicio *****
Tue Mar 07 21:48:45 2006 => ERROR!!! Invalid Entry System32\Drivers\adildr.sys in SYSTEM\CurrentControlSet\Services\ADILOADER...
Tue Mar 07 21:48:45 2006 => ERROR!!! Invalid Entry System32\DRIVERS\adiusbaw.sys in SYSTEM\CurrentControlSet\Services\adiusbaw...
Tue Mar 07 21:48:46 2006 => ERROR!!! Invalid Entry system32\DRIVERS\d347bus.sys in SYSTEM\CurrentControlSet\Services\d347bus...
Tue Mar 07 21:48:46 2006 => ERROR!!! Invalid Entry System32\Drivers\d347prt.sys in SYSTEM\CurrentControlSet\Services\d347prt...
Tue Mar 07 21:48:47 2006 => ERROR!!! Invalid Entry System32\DRIVERS\ElbyVCD.sys in SYSTEM\CurrentControlSet\Services\ElbyVCD...
Tue Mar 07 21:48:51 2006 => ERROR!!! Invalid Entry system32\DRIVERS\VClone.sys in SYSTEM\CurrentControlSet\Services\VClone...

Tue Mar 07 21:48:52 2006 => ***** Scanning Registry and File system for Adware/Spyware *****
Tue Mar 07 21:48:52 2006 => Loading Spyware Signatures from new External Database (Size: 153719).
Tue Mar 07 21:48:52 2006 => Indexed Spyware Databases Successfully Created...

Tue Mar 07 21:49:39 2006 => System found infected with cws.loadadv.400 Browser Hijacker ({5e2121ee-0300-11d4-8d3b-444553540000})! Action taken: Ninguna Accion fue realizada.
Tue Mar 07 21:49:40 2006 => Offending Key found: HKCU\Software\casinoonnet !!!
Tue Mar 07 21:49:40 2006 => Object "casinoonnet Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.

Tue Mar 07 21:49:41 2006 => Offending file found: C:\WINDOWS\gpinstall.exe
Tue Mar 07 21:49:41 2006 => System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: Ninguna Accion fue realizada.

Tue Mar 07 21:49:41 2006 => Offending file found: C:\WINDOWS\system32\ioctrl.dll
Tue Mar 07 21:49:41 2006 => System found infected with smitfraud variant Browser Hijacker (ioctrl.dll)! Action taken: Ninguna Accion fue realizada.

Tue Mar 07 21:49:43 2006 => Offending file found: C:\Documents and Settings\DAVID\Mis documentos\konami\pro evolution soccer 5\settings.dat
Tue Mar 07 21:49:43 2006 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: Ninguna Accion fue realizada.

Tue Mar 07 21:49:46 2006 => Offending file found: c:\Documents and Settings\DAVID\Mis documentos\konami\pro evolution soccer 5\settings.dat
Tue Mar 07 21:49:46 2006 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: Ninguna Accion fue realizada.


Tue Mar 07 21:51:49 2006 => Archivos Examinados:: 15008
Tue Mar 07 21:51:49 2006 => Virus Encontrados:: 7
Tue Mar 07 21:51:49 2006 => Archivos Desinfectados:: 0
Tue Mar 07 21:51:49 2006 => Archivos Renombrados:: 0
Tue Mar 07 21:51:49 2006 => Archivos Eliminados:: 0
Tue Mar 07 21:51:49 2006 => Errores:: 6
Tue Mar 07 21:51:49 2006 => Tiempo Transcurrido:: 00:03:32
Tue Mar 07 21:51:49 2006 => Fecha de Base de Datos de Virus: 3/7/2006
Tue Mar 07 21:51:49 2006 => Conteo de Base de Datos de Virus: 176675

Tue Mar 07 21:51:49 2006 => Examen Completo.




Ya aprovecho y comento que despues de limpiar el registro he reiniciado y tarda muchisimo en cargar windows. Igual que antes de limpiar el registro. ¿Por qué puede ser?
Otra cosilla. Tengo un proceso corriendo que está siempre bastante arriba en la CPU. Es el "WLanCfgG.exe". Creo que es algo de la conexión WIFI que tengo pero, ¿es normal que esté casi siempre rondando entre el 6 y el 15% de CPU?

Muchas gracias....

Para que le sea mas cómodo seguir los pasos imprímalos

Recuerde pasar por Windows Update regularmente y mantener su sistema actualizado.

• ver archivos ocultos en todos los Windows

• Marque la casilla "Desactivar Restaurar sistema" solo en Win ME y XP


Sin reiniciar, busque y elimine estos archivos o carpetas si aun estan:

C:\WINDOWS\system32\TFTP1516
C:\WINDOWS\gpinstall.exe
C:\WINDOWS\system32\ioctrl.dll
C:\Documents and Settings\DAVID\Mis documentos\konami\pro evolution soccer 5\settings.dat

En los casos en los que los nombres de las carpetas y sus rutas no aparezcan completos, ayúdese del explorador de Windows para localizarlas.

Para archivos que no se dejen eliminar/encontrar use KillBox siguiendo las indicaciones del manual

• Recuerde vaciar la papelera

Limpie el registro de su windows

• Disk cleaner

• RegSeeker

• CCleaner/ manual

Despues me pega ud. otro informe del Mwav.exe por favor.

Los 4 archivos eliminados sin problemas, excepto el "C:\WINDOWS\system32\ioctrl.dll", que resulta que es de una aplicación que tengo instalada y ahora no funciona. Es del AverTV, un programa para ver la TV en el PC.

Del registro se han eliminado algunas cosillas.
Aqui dejo el log del Mwav.exe:


Wed Mar 08 00:06:20 2006 => ************************************************** ********
Wed Mar 08 00:06:20 2006 => Herramientas eScan Antivirus.
Wed Mar 08 00:06:20 2006 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Wed Mar 08 00:06:20 2006 => ************************************************** ********
Wed Mar 08 00:06:20 2006 => Source: X:\CD_VARIADOS\VIRUS\mwav.exe
Wed Mar 08 00:06:20 2006 => Version 8.1.9
Wed Mar 08 00:06:20 2006 => Archivo de Registro: C:\DOCUME~1\DAVID\CONFIG~1\Temp\MWAV.LOG
Wed Mar 08 00:06:20 2006 => Last Scan Date and Time: 07.03.2006 21:48:17
Wed Mar 08 00:06:20 2006 => MWAV Registered: FALSE.
Wed Mar 08 00:06:20 2006 => OS Type: Windows Workstation
Wed Mar 08 00:06:20 2006 => Local Fixed Drives: c:\,x:\
Wed Mar 08 00:06:20 2006 => MWAV Mode: Only Scan files.
Wed Mar 08 00:06:20 2006 => Ultima fecha de Archivos dentro de MWAV: 03 Mar 2006 08:13:45.
Wed Mar 08 00:06:24 2006 => Libreria AV cargada...
Wed Mar 08 00:06:24 2006 => MWAV doing self scanning...
Wed Mar 08 00:06:24 2006 => Examinando Archivo C:\DOCUME~1\DAVID\CONFIG~1\Temp\kavss.exe
Wed Mar 08 00:06:24 2006 => Examinando Archivo C:\DOCUME~1\DAVID\CONFIG~1\Temp\Getvlist.exe
Wed Mar 08 00:06:24 2006 => Examinando Archivo C:\DOCUME~1\DAVID\CONFIG~1\Temp\kavss.dll
Wed Mar 08 00:06:24 2006 => Examinando Archivo C:\DOCUME~1\DAVID\CONFIG~1\Temp\kavssdi.dll
Wed Mar 08 00:06:24 2006 => Examinando Archivo C:\DOCUME~1\DAVID\CONFIG~1\Temp\kavssi.dll
Wed Mar 08 00:06:24 2006 => Examinando Archivo C:\DOCUME~1\DAVID\CONFIG~1\Temp\kavvlg.dll
Wed Mar 08 00:06:24 2006 => Examinando Archivo C:\DOCUME~1\DAVID\CONFIG~1\Temp\msvlclnt.dll
Wed Mar 08 00:06:24 2006 => Examinando Archivo C:\DOCUME~1\DAVID\CONFIG~1\Temp\ipc.dll
Wed Mar 08 00:06:24 2006 => Examinando Archivo C:\DOCUME~1\DAVID\CONFIG~1\Temp\main.avi
Wed Mar 08 00:06:24 2006 => Examinando Archivo C:\DOCUME~1\DAVID\CONFIG~1\Temp\virus.avi
Wed Mar 08 00:06:24 2006 => MWAV files are clean.
Wed Mar 08 00:06:25 2006 => Fecha de Base de Datos de Virus: 3/3/2006
Wed Mar 08 00:06:25 2006 => Conteo de Base de Datos de Virus: 179848
Wed Mar 08 00:06:38 2006 => AV Library Unloaded (3)...
Wed Mar 08 00:08:20 2006 => ************************************************** ********
Wed Mar 08 00:08:20 2006 => Herramientas eScan Antivirus.
Wed Mar 08 00:08:20 2006 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Wed Mar 08 00:08:20 2006 => ************************************************** ********
Wed Mar 08 00:08:20 2006 => Source: X:\CD_VARIADOS\VIRUS\mwav.exe
Wed Mar 08 00:08:20 2006 => Version 8.1.9
Wed Mar 08 00:08:20 2006 => Archivo de Registro: C:\DOCUME~1\DAVID\CONFIG~1\Temp\MWAV.LOG
Wed Mar 08 00:08:20 2006 => Last Scan Date and Time: 07.03.2006 21:48:17
Wed Mar 08 00:08:20 2006 => MWAV Registered: FALSE.
Wed Mar 08 00:08:20 2006 => OS Type: Windows Workstation
Wed Mar 08 00:08:20 2006 => Local Fixed Drives: c:\,x:\
Wed Mar 08 00:08:20 2006 => MWAV Mode: Only Scan files.
Wed Mar 08 00:08:20 2006 => Ultima fecha de Archivos dentro de MWAV: 03 Mar 2006 08:13:45.
Wed Mar 08 00:08:22 2006 => Libreria AV cargada...
Wed Mar 08 00:08:22 2006 => MWAV doing self scanning...
Wed Mar 08 00:08:22 2006 => Examinando Archivo C:\DOCUME~1\DAVID\CONFIG~1\Temp\kavss.exe
Wed Mar 08 00:08:22 2006 => Examinando Archivo C:\DOCUME~1\DAVID\CONFIG~1\Temp\Getvlist.exe
Wed Mar 08 00:08:22 2006 => Examinando Archivo C:\DOCUME~1\DAVID\CONFIG~1\Temp\kavss.dll
Wed Mar 08 00:08:22 2006 => Examinando Archivo C:\DOCUME~1\DAVID\CONFIG~1\Temp\kavssdi.dll
Wed Mar 08 00:08:22 2006 => Examinando Archivo C:\DOCUME~1\DAVID\CONFIG~1\Temp\kavssi.dll
Wed Mar 08 00:08:22 2006 => Examinando Archivo C:\DOCUME~1\DAVID\CONFIG~1\Temp\kavvlg.dll
Wed Mar 08 00:08:22 2006 => Examinando Archivo C:\DOCUME~1\DAVID\CONFIG~1\Temp\msvlclnt.dll
Wed Mar 08 00:08:22 2006 => Examinando Archivo C:\DOCUME~1\DAVID\CONFIG~1\Temp\ipc.dll
Wed Mar 08 00:08:22 2006 => Examinando Archivo C:\DOCUME~1\DAVID\CONFIG~1\Temp\main.avi
Wed Mar 08 00:08:22 2006 => Examinando Archivo C:\DOCUME~1\DAVID\CONFIG~1\Temp\virus.avi
Wed Mar 08 00:08:22 2006 => MWAV files are clean.
Wed Mar 08 00:08:23 2006 => Fecha de Base de Datos de Virus: 3/3/2006
Wed Mar 08 00:08:23 2006 => Conteo de Base de Datos de Virus: 179848
Wed Mar 08 00:08:29 2006 => Downloading AntiVirus Databases...
Wed Mar 08 00:09:03 2006 => Downloads Successful...
Wed Mar 08 00:09:06 2006 => Indexed Spyware Databases Successfully Created...
Wed Mar 08 00:09:07 2006 => Reload of AntiVirus Signatures successfully done.
Wed Mar 08 00:09:07 2006 => Fecha de Base de Datos de Virus: 3/8/2006
Wed Mar 08 00:09:07 2006 => Conteo de Base de Datos de Virus: 176697

Wed Mar 08 00:09:22 2006 => ************************************************** ********
Wed Mar 08 00:09:22 2006 => Herramientas eScan Antivirus.
Wed Mar 08 00:09:22 2006 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Wed Mar 08 00:09:22 2006 =>
Wed Mar 08 00:09:22 2006 => Soporte: support@mwti.net
Wed Mar 08 00:09:22 2006 => Web: http://www.mwti.net
Wed Mar 08 00:09:22 2006 => ************************************************** ********
Wed Mar 08 00:09:22 2006 => Version 8.1.9
Wed Mar 08 00:09:22 2006 => Archivo de Registro: C:\DOCUME~1\DAVID\CONFIG~1\Temp\MWAV.LOG
Wed Mar 08 00:09:22 2006 => User Account: DAVID
Wed Mar 08 00:09:22 2006 => Windows Root Folder: C:\WINDOWS
Wed Mar 08 00:09:22 2006 => Windows Sys32 Folder: C:\WINDOWS\system32
Wed Mar 08 00:09:22 2006 => OS: Windows XP
Wed Mar 08 00:09:22 2006 => Ultima fecha de Archivos dentro de MWAV: 08 Mar 2006 00:18:29.

Wed Mar 08 00:09:22 2006 => Opciones seleccionadas por el usuario:
Wed Mar 08 00:09:22 2006 => Chequeo de Memoria: Habilitado
Wed Mar 08 00:09:22 2006 => Chequeo de Registro: Habilitado
Wed Mar 08 00:09:22 2006 => Chequeo de Carpeta de Inicio: Habilitado
Wed Mar 08 00:09:22 2006 => Chequeo de Carpeta de Sistema: Habilitado
Wed Mar 08 00:09:22 2006 => Chequeo de área de Sistema: Deshabilitado
Wed Mar 08 00:09:22 2006 => Chequeo de Servicios: Habilitado
Wed Mar 08 00:09:22 2006 => Opción de Chequeo de Unidad deshabilitada.
Wed Mar 08 00:09:22 2006 => Chequeo de Carpeta: Deshabilitado

Wed Mar 08 0026 2006 => ***** Examinando Archivos de Servicio *****
Wed Mar 08 0027 2006 => ERROR!!! Invalid Entry System32\Drivers\adildr.sys in SYSTEM\CurrentControlSet\Services\ADILOADER...
Wed Mar 08 0027 2006 => ERROR!!! Invalid Entry System32\DRIVERS\adiusbaw.sys in SYSTEM\CurrentControlSet\Services\adiusbaw...
Wed Mar 08 0033 2006 => ERROR!!! Invalid Entry system32\DRIVERS\d347bus.sys in SYSTEM\CurrentControlSet\Services\d347bus...
Wed Mar 08 0033 2006 => ERROR!!! Invalid Entry System32\Drivers\d347prt.sys in SYSTEM\CurrentControlSet\Services\d347prt...
Wed Mar 08 0036 2006 => ERROR!!! Invalid Entry System32\DRIVERS\ElbyVCD.sys in SYSTEM\CurrentControlSet\Services\ElbyVCD...
Wed Mar 08 00:11:06 2006 => ERROR!!! Invalid Entry system32\DRIVERS\VClone.sys in SYSTEM\CurrentControlSet\Services\VClone...

Wed Mar 08 00:11:15 2006 => System found infected with cws.loadadv.400 Browser Hijacker ({5e2121ee-0300-11d4-8d3b-444553540000})! Action taken: Ninguna Accion fue realizada.
Wed Mar 08 00:11:17 2006 => Offending Key found: HKCU\Software\casinoonnet !!!
Wed Mar 08 00:11:17 2006 => Object "casinoonnet Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.

Wed Mar 08 00:24:36 2006 => ***** Examen Completo. *****

Wed Mar 08 00:24:36 2006 => Archivos Examinados:: 14980
Wed Mar 08 00:24:36 2006 => Virus Encontrados:: 2
Wed Mar 08 00:24:36 2006 => Archivos Desinfectados:: 0
Wed Mar 08 00:24:36 2006 => Archivos Renombrados:: 0
Wed Mar 08 00:24:36 2006 => Archivos Eliminados:: 0
Wed Mar 08 00:24:36 2006 => Errores:: 6
Wed Mar 08 00:24:36 2006 => Tiempo Transcurrido:: 00:15:11
Wed Mar 08 00:24:36 2006 => Fecha de Base de Datos de Virus: 3/8/2006
Wed Mar 08 00:24:36 2006 => Conteo de Base de Datos de Virus: 176697

Wed Mar 08 00:24:36 2006 => Examen Completo.


Ahi queda eso... aunque me parece a mi que voy a tener que formatear...
Esto no se soluciona

Formatear es la ultima alternativa, su pc esta mucho mas limpio, ahora no tengo tiempo pero esta tarde le miro el informe, mientras tanto podria ud. ir mirando estos pasos que le pongo aqui