hola

justo en estas fechas que tengo que acabar trabajos para la universidad, algo hay en mi ordenador que lo pone lento, me desactiva las actualizacionesautomáticas y me jode la conexíón a internet.

lo primero que me pasó es que algún virus -supongo- me jodió el norton antivirus, porque me abría sin parar ventanas y avisos.
lo desinstalé, instalé el avast!, lo pasé y me quitó algunos bichos.

pero de vez en cuando encuentra un troyano, y le doy a eliminar pero vuelven a la vida, los cabrones.

así que he llegado hasta aquí, he leído cosas, y he pasado el ewido, el kaspersky y el hijackthis.

el kaspersky y el ewido encontraron varias cosas, y el ewido las ha eliminado.
pero yo seguía pasando el ewido, hasta que el último bicho que encontraba era algo que se llamaba 'delete_on_rebootsdfgdfg' o algo parecido.

yo, muy contento, me he dicho: ¡reinicio y ya está!

¡JA! ¡inocente! lo primero qe ha hecho avast tras reiniciar es mandarme el aviso de un troyano.

necesito que mi ordenador vaya como antes en dos o tres días, o no tendré tiempo de acabar los trabajos. ¿alguien puede ayudarme?

los reports son:

HIJACKTHIS:
Logfile of HijackThis v1.99.1
Scan saved at 13:54:48, on 22/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\Archivos de programa\Launch Manager\QtZgAcer.EXE
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ntsys32.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\LVComS.exe
C:\Acer\eManager\anbmServ.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\sólidoelástico\Escritorio\hijackthis\Hija ckThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 10.34.12.49:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - C:\WINDOWS\system32\mscfg.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Archivos de programa\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Archivos de programa\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] D:\Archivos de programa\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ntsysl] C:\WINDOWS\system32\ntsysl.exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [cmrss] C:\WINDOWS\system32\cmrss.exe
O4 - HKLM\..\Run: [msbcs] C:\WINDOWS\system32\msbcs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {6A868C04-B942-11D8-8D76-0008C7FF1716} (BanServidorFicherosBPP.DownloadBPP) - https://www.bancaja.es/arq_activex/particulares/BanServidorFicherosBPP.CAB
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

EWIDO:
__________________________________________________
ewido security suite online scanner
http://www.ewido.net
__________________________________________________


Name: Downloader.Banload.anh
Path: C:\WINDOWS\system32\__delete_on_reboot__msbcs.exe
Risk: High

Name: Backdoor.Iroffer.1213.a
Path: C:\WINDOWS\system32\__delete_on_reboot__ntsys.exe
Risk: High

Name: Trojan.Spambot
Path: C:\WINDOWS\system32\__delete_on_reboot__mscfg.dll
Risk: High

Name: Downloader.Banload.apx
Path: C:\System Volume Information\_restore{0AF59319-765D-4E4A-9919-B5DCA421ADFE}\RP1\A0000005.EXE
Risk: High

Name: Downloader.Banload.anh
Path: C:\System Volume Information\_restore{0AF59319-765D-4E4A-9919-B5DCA421ADFE}\RP1\A0000006.exe
Risk: High

muchas muchas gracias!

Hola!!!

Ve a Inicio-> Ejecutar-> escribe cmd-> Aceptar

Se abrirá simbolo del sistema, ahi escribe:

sc stop "Windows Log" y presiona Enter
sc delete "Windows Log" y presiona Enter
exit y presiona Enter para salir de simbolo del sistema

Sigue estos pasos:

1) Apaga Restaurar Sistema

2) Ver archivos ocultos

3) Reinicia a prueba de fallos

4) Ejecuta HijackThis con todos los programas cerrados y dale Fix checked a:

O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - C:\WINDOWS\system32\mscfg.dll (file missing)

O4 - HKLM\..\Run: [ntsysl] C:\WINDOWS\system32\ntsysl.exe

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O4 - HKLM\..\Run: [cmrss] C:\WINDOWS\system32\cmrss.exe

O4 - HKLM\..\Run: [msbcs] C:\WINDOWS\system32\msbcs.exe

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

5) Busca y elimina estos archivos y/o carpetas con todo su contenido:

C:\WINDOWS\system32\ntsys32.exe
C:\WINDOWS\system32\mscfg.dll
C:\WINDOWS\system32\ntsysl.exe
C:\WINDOWS\system\smss.exe -> cuidado no elimines el smss.exe que hay en System32 o en dllcache
C:\WINDOWS\system32\cmrss.exe
C:\WINDOWS\system32\msbcs.exe
C:\WINDOWS\system32\nvsvcd.exe

Para archivos que no se dejen eliminar usa KillBox

6) Reinicia normal y finaliza con estos pasos:

• Pasa al menos 2 de estos Antivirus Online
• Limpia el registro con RegSeeker y pasa Ad-Aware actualizado.
• Elimina cookies y temporales con Disk Cleaner y vacía la papelera.

Vuelve a reiniciar, deshaz los cambios 1) y 2) y nos cuentas los resultados.

Saludos

lo primero, muchas gracias!

he hecho todo lo que me decía Jereque.

la primera cosa que no ha ido bien es queno he encontrado O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe
en hijackthis.
desde ahí ha ido todo perfecto hasta que he tratado de eliminar mscfg.dll, que no estaba, ni en system32 ni en ningún sitio.

luego, cmrss.exe lo he encontrado como CMRSS.EXE-33C034B.pf, y Msbcs.exe como MSBCS.EXE-089FFF6E.pf, los dos en la carpeta C:\windows\prefetch

he reiniciado, y buscado en dos antivirus:

EWIDO me ha encontrado varias cosas (tracking cookie la mayoría), pero las ha eliminado y al siguiente escaneo he salido limpio

pero KASPERSKY despues ha encontrado tres bichos más, o lo que sean:

KASPERSKY ON-LINE SCANNER REPORT
Tuesday, May 23, 2006 1:09:42 AM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 23/05/2006
Kaspersky Anti-Virus database records: 183901


Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true

Scan Target Critical Areas
C:\WINDOWS
C:\DOCUME~1\SÓLIDO~1\CONFIG~1\Temp\

Scan Statistics
Total number of scanned objects 13725
Number of viruses found 1
Number of infected objects 3
Number of suspicious objects 0
Duration of the scan process 00:05:12

Infected Object Name Virus Name Last Action
C:\WINDOWS\Temp\data.exe Infected: Trojan-Proxy.Win32.Horst.az skipped

C:\WINDOWS\Temp\tmp1.tmp Infected: Trojan-Proxy.Win32.Horst.az skipped

C:\DOCUME~1\SÓLIDO~1\CONFIG~1\Temp\tmp1.tmp Infected: Trojan-Proxy.Win32.Horst.az skipped

Scan process completed.


En esas estoy, creo que me sigue haciendo falta un poco de ayuda...

OK, no te preocupes, todo lo que queda son solo archivos temporales y cookies.

Ve hacia C:\WINDOWS\Prefetch\ y elimina todo lo que haya dentro de la carpeta Prefetch, pero no vayas a eliminar la carpeta sólo su contenido.

Igual, ve hacia C:\WINDOWS\Temp\ y elimina todo lo que haya dentro de la carpeta Temp, pero no elimines la carpeta.

Ve hacia C:\Documents and Settings\sólidoelástico\Configuración local\Temp\ e igual elimina todo lo que haya dentro de la carpeta Temp, pero no elimines la propia carpeta.

Asegurate de hacer esto con TODOS los programas cerrados incluido tu navegador.

Ahora pasa el Disk Cleaner. Marca todas las casillas y pulsa en Clean. De igual forma hazlo con todos los programas cerrados incluido el navegador.

Vacía la papelera, reinicia y nos cuentas los resultados.

Saludos

PD// Para poder ver todos los archivos y carpetas debes prender la opción de Ver archivos ocultos

he echo todo lo que me dijiste
y ha ido todo bien hasta que, para acabar, he vuelto a pasar los antivirus.

EWIDO no encontró nada, pero PANDA encontró tres spywares, y KASPERSKY un virus.

no entiendo qué placer puede darle a alguien crear un virus
pero claro, el negocio es el negocio

en fin, ahí van el reporte, y si hay algo más que se pueda hacer por mi ordenador, lo agradecería mucho. de todas formas, ahora ya va mucho mejor que antes

KASPERSKY:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Tuesday, May 23, 2006 2:12:04 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 23/05/2006
Kaspersky Anti-Virus database records: 184014
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\
E:\

Scan Statistics:
Total number of scanned objects: 44658
Number of viruses found: 1
Number of infected objects: 2
Number of suspicious objects: 0
Duration of the scan process: 00:41:09

Infected Object Name / Virus Name / Last Action
C:\System Volume Information\_restore{0AF59319-765D-4E4A-9919-B5DCA421ADFE}\RP1\A0000073.exe Infected: Trojan-Proxy.Win32.Horst.az skipped
C:\System Volume Information\_restore{0AF59319-765D-4E4A-9919-B5DCA421ADFE}\RP1\A0000074.exe Infected: Trojan-Proxy.Win32.Horst.az skipped

Scan process completed.


gracias por todo!

Hola!!!

Lo que te detecta está en _restore

En el enlace explico por qué tu antivirus detecta virus allí y qué hacer para que deje de detectarlos.

Nos cuentas...

Saludos

ya está
ya nada detecta nada en mi equipo
solo dar las gracias por todo a jereque
no esperaba encontrar una ayuda tan rápida y eficaz
da gusto encotrar un sitio con una gente así

De nada , si no hay más problemas damos el tema por solucionado.

Saludos