Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

se que este problema se ve grande de leer, pero por favor tomense la molestia, y traten de ayudarme analizando mi problema.
Yo tengo un gran problema,para mi muy grande,
eh revisado en varios foros mi inquietud pero ninguno me ha dicho algo util para mi,

llegue a estos foros y solo pro el nombre y por la bienbenida ya me senti como en casa,
siempre habia hablado de foros, pero relamente nunca los habia nesecitado, no como ahora,
es que realmente estoy asustado, nisiquiera eh dormido casi, tratando de dar con algo,
que no veo la forma, pero lo cierto es que tengo mucha informacion
importante en mi pc, y se me ha entrado un trojano (trojan downloader win32 harnig.pb)
a mi parecer es muy nuevo por que no encuentro casi nada de el.
se ha entrado en mi pc, y ese es el nombre que kaspersrky le pone, me ha borrado acerca
de 13 gigas de 140 gigas + o -, Los detalles de lo que he hecho hasta ahora es lo siguiente.
el virus me entro el mircoles 12 de abril del 2006 pero me di cuenta ya el 19 de abril, ayer,
porque queria mover unas carpetas y me daban error, y no podia hacer nada con ellas, e
incluso me decia que estaban vacias, y le daba a entrar pero no hacia nada, entonces,
ahi me di cuenta que algo pasaba, vi que el tamaño del disco cambiaba, entonces reinicie
la pc, y entre a Modo de Prueba de Fallos, y corri el Kaspersky Anti virus persona 5.0.376,
Actualizado hasta la fechal, luego terminó, y dice, "todos los archivos peligrosos fueron borrados",
luego reinicio, y hay como 8 gigas menos, me asusto, pero entonces no se si el virus sique aqui,
aunque la pc me funciona bien, no se si del todo, por que los archivos que estaban infectados,
no me deja hacer nada con ellos en algunos hay y habia musica ó programas, realmente no se si
estara durmiendo o si......, lo ultimo que hice fue volver a correr el AV kaspersky,
y entonces esta vez me dice que ya no hay nada peligroso, y tambien corri como tres anti trojanos
que dijeron que no habia nada, excepto, unos spyware, y como tres trojanos pero de poca
importancia que los elimino inmediatamente, pero en la ruta que estaban no habia conflicto siquiera
ya tengo varios dias con la PC estable, pero me ha estado dando un Error,
(y esto es importante) < baje dos cd de Emule hace un rato,
estaban comprimidos, y les daba abrir aun comprimidos y se abrian bien y sonaban, pero luego los descomprimí,
y entonces, me sale un tremendo error, den cerrar el explorer y entonces abro el task manager
y en este observo que hay hay un proceso no común ||<(drwtsn.32.exe)>||, por suerte me deja
cerrarlo por el mismo administradorde tareas, pero me doy cuenta que casi todas las canciones que estaban en una de las carpetas
estan ahi pero no se escuchan, y es que solo estan los iconos, por que cuando le ver el tamaño a la carpeta me dice
que esta vacia, pero las canciones dicen que tiene el mismo peso que antes, pero ni siquiera se abren, y cuando entro en la carpeta me vuelve a aparecer el error.
bueno no se, realmente les agradeceré con mi corazon y mi alma, a los
que me puedan ayudar, yo estoy aprendiendo mucho ahora de todo lo que hay aqui. y se que se ayudan unos con otros.
Soy de Santiago,Republica Dominicana, no se de donde son ustedes, pero Por favor, traten de ayudarme
de alguna manera, lo antes posible, estoy en estado de emergencia, Claro sin Presionar, gracias de
antemano solo por escucharme. Gracias......de verdad.....

Bienvenid@ a Forospyware!


Pues bien, bonito caso el tuyo


Estas seguro del nombre que haz colocado, es decir, es asi: drwtsn.32.exe o es drwtsn32.exe

Me explico mejor, si hay un punto "." entre el nombre (drwtsn) y el numero (32) entonces es un virus, si no hay ningun punto entre el nombre y el numero entonces es el proceso del Dr Watson de windows, es un depurador propio del sistema, para errores con dicho proceso, te debe servir este tema


Ahora, me preocupa el hecho que comentas que "se borran archivos", "se dañan carpetas" "se pierde espacio", en el caso de que fuese cierto, es decir, tal cual lo comentas, lo mejor seria que trataras de hacer un backup de tus archivos importantes antes de que lo pierdas todo y formatees el disco duro (no utilizando el formato rapido), de hecho, para ser mas efectivo, deberias usar un formato de bajo nivel aunque espero que no sea necesario


Para descubrir que tan limpio estara tu sistema, puedes usar el SilentRunners y el mwav

Ambas herramientas te generaran reportes sobre los programas ejecutandose que normalmente no verias, sobre el mwav si te aviso que el reporte es bastante largo asi que solo deberias pegar aca las entradas que digan Tagged o Infected


Nos cuentas



Salu2

Gracias Men, Ahora estoy en el trabajo realmente, pero desde que llegue, voy a averiguar, lo que dices, de si es drwtsn.32.exe o es drwtsn32.exe, mientras tanto voy a hacer lo que me sugieres en los demas casos, por otra parte lo de que se me han borrado cosas en las dos situaciones que se me presentaron, una cuando el virus y la otra con lo del error drwtsn.32.exe, es verdad que se han borrado cosas, pero ya vere si hay un virus o no con lo que dices, o es que hay rastros, como aprendi aqui, en la respuesta de otro problema en este foro. lo unico que quiero relamente es tener mi makina totalmente limpia, antes de grabar toda la informacion que tengo, que es mucha, son como 140 gigas, entonces quisiera saber, si realmente hay una forma de tener mi makina limpia, aunque primero claro voy a hacer lo que dijiste, luego persisto, gracias, ahhh y otra cosa, el HijackThis sirve para eso, lo puedo usar despues de haber leido el manual, por que eh leido que hay que tener mucho cuidado como se usa? gracias y te informo de lo que pase, gracias de veras....

Si es < drwtsn32.exe >
Saludos, Mira, esto es un poquito dificil de explicar, pero ahi voy. porque es bien raro lo que pasa, estoy intentando de hacer lo mismo que hice antes cuando me aparecio el proceso <drwtsn>, baje otro archivo con el mismo contenido comprimido pero de otro tamano, y otros dos cds mas, diferentes, y los descomprimi, (pero en este caso no los borre, para poder tenerlos despues que pase lo que pase), luego lo llevo a la carpeta donde me habia pasado la cosa rara con los otros, intentando ver si se abria el proceso <drwtsn>, para ver que tipo es, y con el Task Manager abierto, los copie y nada, pero derepente, lo interesante y lo que mas me asusta, entro a las carpetas para abrir las canciones, y esto es bien extrano para mi, solo algunas se abren como 4 de las 10 y las otras 6 cuando les doy a abrir no hacen nada, pero cuando le pogo el mause encima me dicen que tienen el peso correcto, pero cuando le doy un clic derecho encima de unas de esas, Hechooo, me aparece el dicho error incluyendo < dwwin.exe > y con problemas en el explorer, y que tengo que cerrarlo, bueno despues que se normaliza todo, vuelvo a la carpeta, y encima de ese album, le doy clic derecho, y me dice que ahora en vez de tener como 60 megas, solo tiene como 28 megas. Esto paso con los otros dos cds, en las misma ruta. Que pasa?
Estoy confundido.... no se lo que me pasa, quiero grabar toda mi informacion cuanto antes, pero quiero estar seguro de que no hayan virus. aunque me da gusto, que hayan citios como este, que ayuden en casos dificiles para mi como estos y claro, otros casos mucho mas dificiles.
otra cosa, lo del formato bajo nivel, crees que sea tan necesario, por que eh oido, que son fuertes para la salud del disco duro, no? por eso estaba pensando solo en darlo de forma que No sea (formato rapido) o sea normal, y completo, Que crees?
Bueno Gracias, por todo tu conocimiento hasta ahora, y tu gran ayuda y esfuerzo, Gracias men............
Esperando Mas ayuda y Respuestas.......Gracias.....

A ver......aclaremos algunas cosas:


Seguiste los pasos del enlace que te dejé para "deshabilitar el Dr Watson"?


Además de eso, te dejé también dos programas para que los ejecutaras (SilentRunners y mwav) lo hiciste? que obtuviste en los reportes?


Ya me contarás



Salu2

Lo del dr. watson no me funciono, osea hice el procedimiento ta cual esta, pero luego, cuando le pongo click derecho a la carpeta esta, me hace lo mismo de antes, (una pregunta, por que hay que hacer este paso
3. Haga clic en la clave AeDebug y, a continuación, haga clic en Exportar archivo del Registro en el menú Registro. ) no tiene logica, por que uno estaria poniendo de nuevo los mismos valores no?

bueno, el < Silent Runners > cuando le doy a bajar, se abre una pagina en formato txt y si le doy a FAQ, se me baja un archivo que no me hace nada. disculpa mi torpeza posible....

pero que crees, por que se borran las canciones cuando las entro en esa carpeta???

Esto encontro el < mwav > el otro archivo Log que genero lo guarde pero es muy grande. Gracias

File C:\Documents and Settings\Administrator\Desktop\burn it up\SmileyCentralFFSetup2.0.4.18.exe tagged as "not-a-virus:AdWare.Win32.MyWebSearch". Action Taken: Ninguna Accion fue realizada.
File C:\Documents and Settings\Administrator\Desktop\cmb_243461.exe tagged as "not-a-virus:Porn-Dialer.Win32.PluginAccess.gen". Action Taken: Ninguna Accion fue realizada.
Object "minibug Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "cws.loadadv.400 Browser Hijacker" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "mediamotor Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "whenu/clocksync Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "popuper Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "stylexp Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "thelocalsearch Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "smitfraud variant Browser Hijacker" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "whenusearch Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "007guard.com hijacker Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "media tickets Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "media tickets Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "purityscan Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "purityscan Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "purityscan Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "purityscan Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "cydoor.topicks.a Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "ezula toptext Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "cydoor.topicks.a Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "midaddle Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "flashtrack Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "system soap pro Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "gain.gator Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "isearchtech Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "go'zilla Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "smitfraud variant Browser Hijacker" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "smitfraud variant Browser Hijacker" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "media tickets Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "media tickets Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "purityscan Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "purityscan Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "purityscan Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "purityscan Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "cydoor.topicks.a Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "ezula toptext Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "cydoor.topicks.a Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "midaddle Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Object "flashtrack Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.
Archivo C:\WINDOWS\system32\cmdow.exe marcado como not-a-virus:RiskTool.Win32.HideWindows. No se tomó acción.
File C:\Documents and Settings\Administrator\Desktop\cmb_243461.exe tagged as "not-a-virus:Porn-Dialer.Win32.PluginAccess.gen". Action Taken: Ninguna Accion fue realizada.

Saludo Y Amistad...

Vamos por partes.....

Sobre el SIlentRunners, donde ves que dice estoJusto donde dice click "here" dale click derecho y luego le das en "Guardar destino como...." o "Save target as....."


Sobre esta pregunta:Debes tomar en cuenta de que existe la posibilidad que dicha carpeta esté en un sector dañado del disco duro razón por la cual, los datos que allí se guardan quedan inútiles


Sobre lo del registro, deberás darle un click izquierdo a la clave (carpeta) AeDebug, arriba a la izquierda verás un menu llamad "Registro" que está al lado izquierdo de "Editar" dale click allí y luego le das click en "Exportar" o "Export"

Luego, selecciona nuevamente la clave "AeDebug" dale click derecho y luego le das en Eliminar....


Sobre el reporte del mwav:

Usa el killbox para eliminar los siguientes archivos:

C:\Documents and Settings\Administrator\Desktop\burn it up\SmileyCentralFFSetup2.0.4.18.exe

C:\Documents and Settings\Administrator\Desktop\cmb_243461.exe

C:\WINDOWS\system32\cmdow.exe


Descarga y ejecuta la herramienta DelPSGuard primero en modo normal y luego en modo a prueba de fallos


Descarga, instala y actualiza la herramienta Spy Sweeper y haz un chequeo con esta herramienta, tambien, primero en modo normal y luego modo a prueba de fallos


Nos cuentas



Salu2

Saludos y Abrazos, Esto me sale, con silentrunners, gracias por explicarme mejor, disculpa mi torpeza, es que a veces con el sueno y eso....
antes una pregunta, como arreglo eso lo de los sectores malos en el disco duro,???? o dejo eso para resolverlo despues,?????
otra pregunta, puedo usar el killbox para borrar las carpetas que te mencione la primera vez cuando inicie este tema, las que no se dejan borrar ni hacer nada de ninguna manera, despues que el kaspersky encontro el virus trojan-downloader.win32.harnig.bg.?????

"Silent Runners.vbs", revision 45, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \ {++}
"TaskSwitchXP" = "C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe" ["Alexander Avdonin"]
"msnmsgr" = ""C:\Program Files\MSN Messenger\msnmsgr.exe" /background" [MS]
"eMuleAutoStart" = "C:\Program Files\eMule\emule.exe -AutoStart" ["http://www.emule-project.net"]
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"AIM" = "C:\Program Files\AIM\aim.exe -cnetwait.odl" ["America Online, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \ {++}
"LClock" = "C:\Program Files\LClock\LClock.exe" [null data]
"ATIPTA" = "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"ATICCC" = ""C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime" [null data]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"KAVPersonal50" = ""C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize" ["Kaspersky Lab"]
"MSConfig" = "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig .exe /auto" [MS]
"SunJavaUpdateSched" = "C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\
{02478D38-C3F9-4EFB-9B51-7695ECA05670}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar Helper"
\InProcServer32\(Default) = "C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]
{5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Yahoo! IE Services Button"
\InProcServer32\(Default) = "C:\Program Files\Yahoo!\Common\yiesrvc.dll" ["Yahoo! Inc."]
{955BE0B8-BC85-4CAF-856E-8E0D8B610560}\(Default) = "Complemento del Asistente para Internet de Encarta"
-> {HKLM...CLSID} = "Complemento del Asistente para Internet de Encarta"
\InProcServer32\(Default) = "C:\Program Files\Common Files\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL" [MS]
{A7327C09-B521-4EDB-8509-7D2660C9EC98}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Viewpoint Toolbar BHO"
\InProcServer32\(Default) = "C:\Program Files\Viewpoint\Viewpoint Toolbar V35\ViewBarBHO.dll" ["Viewpoint Corporation"]
{E24AD748-155E-4254-B674-4EDF86E7E1DF}\(Default) = (no title provided)
-> {HKLM...CLSID} = "CAdBlocker Object"
\InProcServer32\(Default) = "C:\PROGRA~1\Acronis\PRIVAC~1\POP-UP~1.DLL" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Display Panning CPL Extension"
-> {HKLM...CLSID} = "Display Panning CPL Extension"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {HKLM...CLSID} = "Portable Media Devices"
\InProcServer32\(Default) = "C:\WINDOWS\system32\audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\audiodev.dll" [MS]
"{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}" = "UnlockerShellExtension"
-> {HKLM...CLSID} = "UnlockerShellExtension"
\InProcServer32\(Default) = "C:\Program Files\Unlocker\UnlockerCOM.dll" [null data]
"{7DA7E6C1-8187-11d3-AE56-D46129213232}" = "Open Subfolder Shell Extension"
-> {HKLM...CLSID} = "Open Subfolder Shell Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ShellExt\OPENSUB.DLL" [null data]
"{0A435D73-6459-4b87-971D-0EEBFD2495BA}" = "ContextAttrib"
-> {HKLM...CLSID} = "ContextAttrib"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ShellExt\ContextAttrib.dl l" ["Grigri"]
"{00537963-0001-0001-0004-00c0dfe64a64}" = "Command Box Context Menu Handler"
-> {HKLM...CLSID} = "Command Box Context Menu Handler"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ShellExt\cmdhere.dll" ["Synesis Software (Pty) Ltd"]
"{25D84CB0-7345-11D3-A4A1-0080C8ECFED4}" = "DLL Registerer"
-> {HKLM...CLSID} = "DLL Registerer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ShellExt\dllregshex.dll" ["See 'About...' box after this DLL is registered."]
"{4F030BE5-18F3-4F56-8367-BEB7A92215E7}" = "BrowserBack Extension"
-> {HKLM...CLSID} = "BrowserBackExt Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ShellExt\BROWSE~1.DLL" [empty string]
"{56B05AF1-05D4-48B3-95A5-DBD5F65BF6F6}" = "SelectAll Extension"
-> {HKLM...CLSID} = "SelectAllExt Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ShellExt\SELECT~1.DLL" [empty string]
"{A5026724-3344-4658-94AE-0908507D892C}" = "HiddenFilesToggle Extension"
-> {HKLM...CLSID} = "HiddenFilesToggleExt Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ShellExt\HIDDEN~1.DLL" [empty string]
"{E30BB957-3B17-43E6-8F4C-8F01BFED6F0F}" = "FileExtToggle Extension"
-> {HKLM...CLSID} = "FileExtToggleExt Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ShellExt\FILEEX~1.DLL" [empty string]
"{51131DA7-1D24-40e5-AE07-5E3750F5DE3C}" = "ContextMenuExt Extension"
-> {HKLM...CLSID} = "ContextMenuExt Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ShellExt\ContextMenuExt.d ll" [null data]
"{97F6E51A-2934-4297-B06C-1CCCA326C5E6}" = "Find Target 2"
-> {HKLM...CLSID} = "SHFindTarget Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ShellExt\FindTarget.dll" [empty string]
"{00537963-0001-0004-0004-00c0dfe64a64}" = "Run Program Context Menu Handler"
-> {HKLM...CLSID} = "Run Program Context Menu Handler"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ShellExt\MERunPrg.dll" ["Synesis Software (Pty) Ltd"]
"{67C63340-679B-11D2-92EE-000021474C11}" = "OpenExpert Extensions"
-> {HKLM...CLSID} = "OpenExpert Extensions"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ShellExt\OpenExpert.dll" [null data]
"{1530f7ee-5128-43bd-9977-84a4b0fad7df}" = "Photo Resizing PowerToy"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\ShellExt\phototoys.dll" [MS]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{3028902F-6374-48b2-8DC6-9725E775B926}" = "IE Microsoft AutoComplete"
-> {HKLM...CLSID} = "IE Microsoft AutoComplete"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{EFA24E62-B078-11d0-89E4-00C04FC9E26E}" = "History Band"
-> {HKLM...CLSID} = "History Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\Utilities\WinRAR\RarExt.dll" [null data]
"{23170F69-40C1-278A-1000-000100020000}" = "7-Zip Shell Extension"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Program Files\Utilities\7-Zip\7-zip.dll" ["Igor Pavlov"]
"{e82a2d71-5b2f-43a0-97b8-81be15854de8}" = "ShellLink for Application References"
-> {HKLM...CLSID} = "ShellLink for Application References"
\InProcServer32\(Default) = "C:\WINDOWS\system32\dfshim.dll" [MS]
"{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75}" = "Shell Icon Handler for Application References"
-> {HKLM...CLSID} = "Shell Icon Handler for Application References"
\InProcServer32\(Default) = "C:\WINDOWS\system32\dfshim.dll" [MS]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
-> {HKLM...CLSID} = "SimpleShlExt Class"
\InProcServer32\(Default) = "C:\Program Files\ATI Technologies\ATI.ACE\atiacmxx.dll" [empty string]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~1\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Extensión de iconos de archivo de Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~1\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{60CE0473-50F7-417B-A10F-6921827B9CA8}" = "Acronis PrivacyExpert Shell Extension Class"
-> {HKLM...CLSID} = "CPrivexShellExt Object"
\InProcServer32\(Default) = "C:\PROGRA~1\Acronis\PRIVAC~1\PRIVSH~1.DLL" [file not found]
"{28710882-150A-48A6-A858-2FC774BA822E}" = "Viewpoint Photos Shell Extension"
-> {HKLM...CLSID} = "ViewpointPhotosExt Class"
\InProcServer32\(Default) = "C:\Program Files\Viewpoint\Viewpoint Toolbar V35\ViewpointPhotosShellExt.dll" ["Viewpoint Corporation"]
"{5464D816-CF16-4784-B9F3-75C0DB52B499}" = "Yahoo! Mail"
-> {HKLM...CLSID} = "YMailShellExt Class"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."]
"{46E22146-59C0-4136-9233-52E412E2B428}" = "EzCddax extension"
-> {HKLM...CLSID} = "EzCddax Class"
\InProcServer32\(Default) = "C:\Program Files\Easy CD-DA Extractor 9\ezcddax9.dll" [null data]
"{52B87208-9CCF-42C9-B88E-069281105805}" = "Trojan Remover Shell Extension"
-> {HKLM...CLSID} = "Trojan Remover Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" ["Simply Super Software"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandler s\
{9D4E3F43-DB97-40D6-BDCB-7C9CFC69E222}\(Default) = "{9D4E3F43-DB97-40D6-BDCB-7C9CFC69E222}"
-> {HKLM...CLSID} = "Softpointer Column Handler"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ShellExt\AUDIOS~1.DLL" ["Softpointer Inc"]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandler s\
7-ZIP\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Program Files\Utilities\7-Zip\7-zip.dll" ["Igor Pavlov"]
ACShell\(Default) = "{D3F9A525-8824-497A-BE36-B23E22F141FC}"
-> {HKLM...CLSID} = "Attribute Changer Shell Extension"
\InProcServer32\(Default) = "C:\Program Files\Attribute Changer\acshell.dll" ["Romain Petges"]
ContextAttrib\(Default) = "{0A435D73-6459-4b87-971D-0EEBFD2495BA}"
-> {HKLM...CLSID} = "ContextAttrib"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ShellExt\ContextAttrib.dl l" ["Grigri"]
CopyMoveTo\(Default) = "{51131DA7-1D24-40e5-AE07-5E3750F5DE3C}"
-> {HKLM...CLSID} = "ContextMenuExt Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ShellExt\ContextMenuExt.d ll" [null data]
EzCddax\(Default) = "{46E22146-59C0-4136-9233-52E412E2B428}"
-> {HKLM...CLSID} = "EzCddax Class"
\InProcServer32\(Default) = "C:\Program Files\Easy CD-DA Extractor 9\ezcddax9.dll" [null data]
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"]
Ninotech Date Edit\(Default) = "{EECEEFEE-3DF7-11D0-9576-0000837A2FDD}"
-> {HKLM...CLSID} = "Ninotech Date Edit Shell Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ShellExt\DateEd32.dll" ["Ninotech"]
Ninotech Path Copy\(Default) = "{EECEEFEE-3DF7-11D0-9576-0000837A2FDE}"
-> {HKLM...CLSID} = "Ninotech Path Copy Shell Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ShellExt\PathCo32.dll" ["Ninotech"]
PrivexShellExt\(Default) = "{60CE0473-50F7-417B-A10F-6921827B9CA8}"
-> {HKLM...CLSID} = "CPrivexShellExt Object"
\InProcServer32\(Default) = "C:\PROGRA~1\Acronis\PRIVAC~1\PRIVSH~1.DLL" [file not found]
TheCleaner\(Default) = "{2DE506B9-4320-11d3-8E42-002035221EDA}"
-> {HKLM...CLSID} = "The Cleaner"
\InProcServer32\(Default) = "C:\Program Files\The Cleaner\tcshellex.dll" ["MooSoft Development"]
Trojan Remover\(Default) = "{52B87208-9CCF-42C9-B88E-069281105805}"
-> {HKLM...CLSID} = "Trojan Remover Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" ["Simply Super Software"]
UnlockerShellExtension\(Default) = "{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}"
-> {HKLM...CLSID} = "UnlockerShellExtension"
\InProcServer32\(Default) = "C:\Program Files\Unlocker\UnlockerCOM.dll" [null data]
ViewpointPhotosExt\(Default) = "{28710882-150A-48A6-A858-2FC774BA822E}"
-> {HKLM...CLSID} = "ViewpointPhotosExt Class"
\InProcServer32\(Default) = "C:\Program Files\Viewpoint\Viewpoint Toolbar V35\ViewpointPhotosShellExt.dll" ["Viewpoint Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\Utilities\WinRAR\RarExt.dll" [null data]
Yahoo! Mail\(Default) = "{5464D816-CF16-4784-B9F3-75C0DB52B499}"
-> {HKLM...CLSID} = "YMailShellExt Class"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."]
{67C63340-679B-11D2-92EE-000021474C11}\(Default) = "{67C63340-679B-11D2-92EE-000021474C11}"
-> {HKLM...CLSID} = "OpenExpert Extensions"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ShellExt\OpenExpert.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMen uHandlers\
7-ZIP\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Program Files\Utilities\7-Zip\7-zip.dll" ["Igor Pavlov"]
ACShell\(Default) = "{D3F9A525-8824-497A-BE36-B23E22F141FC}"
-> {HKLM...CLSID} = "Attribute Changer Shell Extension"
\InProcServer32\(Default) = "C:\Program Files\Attribute Changer\acshell.dll" ["Romain Petges"]
Command Box Context Menu Handler\(Default) = "{00537963-0001-0001-0004-00c0dfe64a64}"
-> {HKLM...CLSID} = "Command Box Context Menu Handler"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ShellExt\cmdhere.dll" ["Synesis Software (Pty) Ltd"]
ContextAttrib\(Default) = "{0A435D73-6459-4b87-971D-0EEBFD2495BA}"
-> {HKLM...CLSID} = "ContextAttrib"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ShellExt\ContextAttrib.dl l" ["Grigri"]
CopyMoveTo\(Default) = "{51131DA7-1D24-40e5-AE07-5E3750F5DE3C}"
-> {HKLM...CLSID} = "ContextMenuExt Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ShellExt\ContextMenuExt.d ll" [null data]
Ninotech Date Edit\(Default) = "{EECEEFEE-3DF7-11D0-9576-0000837A2FDD}"
-> {HKLM...CLSID} = "Ninotech Date Edit Shell Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ShellExt\DateEd32.dll" ["Ninotech"]
Ninotech Path Copy\(Default) = "{EECEEFEE-3DF7-11D0-9576-0000837A2FDE}"
-> {HKLM...CLSID} = "Ninotech Path Copy Shell Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ShellExt\PathCo32.dll" ["Ninotech"]
TheCleaner\(Default) = "{2DE506B9-4320-11d3-8E42-002035221EDA}"
-> {HKLM...CLSID} = "The Cleaner"
\InProcServer32\(Default) = "C:\Program Files\The Cleaner\tcshellex.dll" ["MooSoft Development"]
UnlockerShellExtension\(Default) = "{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}"
-> {HKLM...CLSID} = "UnlockerShellExtension"
\InProcServer32\(Default) = "C:\Program Files\Unlocker\UnlockerCOM.dll" [null data]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\Utilities\WinRAR\RarExt.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHa ndlers\
CopyMoveTo\(Default) = "{51131DA7-1D24-40e5-AE07-5E3750F5DE3C}"
-> {HKLM...CLSID} = "ContextMenuExt Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ShellExt\ContextMenuExt.d ll" [null data]
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"]
Open Subfolder\(Default) = "{7DA7E6C1-8187-11d3-AE56-D46129213232}"
-> {HKLM...CLSID} = "Open Subfolder Shell Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ShellExt\OPENSUB.DLL" [null data]
PrivexShellExt\(Default) = "{60CE0473-50F7-417B-A10F-6921827B9CA8}"
-> {HKLM...CLSID} = "CPrivexShellExt Object"
\InProcServer32\(Default) = "C:\PROGRA~1\Acronis\PRIVAC~1\PRIVSH~1.DLL" [file not found]
TheCleaner\(Default) = "{2DE506B9-4320-11d3-8E42-002035221EDA}"
-> {HKLM...CLSID} = "The Cleaner"
\InProcServer32\(Default) = "C:\Program Files\The Cleaner\tcshellex.dll" ["MooSoft Development"]
Trojan Remover\(Default) = "{52B87208-9CCF-42C9-B88E-069281105805}"
-> {HKLM...CLSID} = "Trojan Remover Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" ["Simply Super Software"]
UnlockerShellExtension\(Default) = "{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}"
-> {HKLM...CLSID} = "UnlockerShellExtension"
\InProcServer32\(Default) = "C:\Program Files\Unlocker\UnlockerCOM.dll" [null data]
ViewpointPhotosExt\(Default) = "{28710882-150A-48A6-A858-2FC774BA822E}"
-> {HKLM...CLSID} = "ViewpointPhotosExt Class"
\InProcServer32\(Default) = "C:\Program Files\Viewpoint\Viewpoint Toolbar V35\ViewpointPhotosShellExt.dll" ["Viewpoint Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\Utilities\WinRAR\RarExt.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"


Startup items in "Administrator" & "All Users" startup folders:
---------------------------------------------------------------

C:\Documents and Settings\All Users\Start Menu\Programs\Startup
"ATI CATALYST System Tray" -> shortcut to: "C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe SystemTray" [null data]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Pa rameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Pa rameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]
"{147D6308-0614-4112-89B1-31402F9B82C4}"
-> {HKLM...CLSID} = "Asistente para Internet de Encarta"
\InProcServer32\(Default) = "C:\Program Files\Common Files\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL" [MS]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{F8AD5AA5-D966-4667-9DAF-2561D68B2012}" = (no title provided)
-> {HKLM...CLSID} = "Viewpoint Toolbar"
\InProcServer32\(Default) = "C:\Program Files\Viewpoint\Viewpoint Toolbar V35\ViewBar.dll" ["Viewpoint Corporation"]
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]
"{147D6308-0614-4112-89B1-31402F9B82C4}" = "Asistente para Internet de Encarta"
-> {HKLM...CLSID} = "Asistente para Internet de Encarta"
\InProcServer32\(Default) = "C:\Program Files\Common Files\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL" [MS]

Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{4528BBE0-4E08-11D5-AD55-00010333D0AD}\(Default) = (no title provided)
-> {HKLM...CLSID} = "&Yahoo! Messenger"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\yhexbmesus.dll" ["Yahoo! Inc."]

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{4528BBE0-4E08-11D5-AD55-00010333D0AD}\(Default) = (no title provided)
-> {HKLM...CLSID} = "&Yahoo! Messenger"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\yhexbmesus.dll" ["Yahoo! Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{2E071ADC-ADF8-4B4B-8ACB-EDC49E6D45A2}\
"ButtonText" = "Acronis Pop-up Blocker"
"MenuText" = "Acronis Pop-up Blocker"
"CLSIDExtension" = "{2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2}"
-> {HKLM...CLSID} = "CAdBlockToolExt Object"
\InProcServer32\(Default) = "C:\PROGRA~1\Acronis\PRIVAC~1\POP-UP~1.DLL" [file not found]

{5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897}\
"ButtonText" = "Yahoo! Services"
"CLSIDExtension" = "{5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897}"
-> {HKLM...CLSID} = "Yahoo! IE Services Button"
\InProcServer32\(Default) = "C:\Program Files\Yahoo!\Common\yiesrvc.dll" ["Yahoo! Inc."]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Referencia"

{AC9E2541-2814-11D5-BC6D-00B0D0A1DE45}\
"ButtonText" = "AIM"
"Exec" = "C:\Program Files\AIM\aim.exe" ["America Online, Inc."]

{B205A35E-1FC4-4CE3-818B-899DBBB3388C}\


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
HTTP SSL, HTTPFilter, "C:\WINDOWS\System32\svchost.exe -k HTTPFilter" {"C:\WINDOWS\System32\w3ssl.dll" [MS]}
kavsvc, kavsvc, ""C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe"" ["Kaspersky Lab"]
Remote HID Service, LvHidSvc, "C:\WINDOWS\system32\lvhidsvc.exe" ["Philips"]
SmartLinkService, SLService, "slserv.exe" [" "]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monito rs\
Canon BJ Language Monitor MP130\Driver = "CNMLM6s.DLL" ["CANON INC."]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 23 seconds, including 3 seconds for message boxes)

Que crees pana, estoy muy infectado.....por lo que ves en este Log de Silent Runners.........?????

Saludos

Pues, en realidad no se ve nada que pueda perjudicar a tu sistema en el log del Silent Runners


Sobre tu pregunta de eliminar las carpetas, lo puedes hacer, usando el killbox marcando la opción llamada "DeleteTree"

También podrías usar el unlocker ya que veo que lo tienes instalado


Sobre los sectores dañados, los podrías intentar reparar utilizando el reparador de windows, para esto, ve a Inicio > Ejecutar y escribe cmd

Entrarás entonces al msdos y allí escribe
Donde X: será la unidad a revisar/reparar, por ejemplo C: o D:


También, podrías ubicar un programa para este propósito en la página del fabricante del HD



Nos cuentas



Salu2