Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

DISCULPEN POR LO EXTENSO DEL MENSAJE, PERO ME PARECE QUE CUANTO MAS ESPECIFICO SEA EN LA DEFINICION DE MI PROBLEMA MAS ME VAN A PODER AYUDAR. MUCHISIMAS GRACIAS
Buenas. Ante todo muchas gracias de antemano por la ayuda que dan. Les comento mi situación: hace una semana estaba por ponerme servicio de ADSL, y mientras esperaba que llegue el MODEM me dijeron que use una línea 0610 para gastar menos un par de días. A los 15 min. de usar esta se encontró un error y la maquina dijo que en un min. debía cerrar. Mas tarde con la misma conexión empecé a detectar virus, los cuales el Norton en ese momento activo ponía en cuarentena. Luego apareció el MSAOL32.EXE al cual el antivirus no puedo ni borrar ni poner en cuarentena, yo traté de borrarlo de cualquier modo pero no hay caso. Usé el Ad-Aware y mientras que un par de días atrás encontraba 5 spywares como mucho, después de este virus detecto casi 200 no se porque. El problema se agravó cuando puse conexión ADSL; el Explorer (6.0) andaba solo 5 minutos y después al escribir una dirección no pasaba nada, además de que se cambiaba la página de inicio. En el Inicio de la maquina había un cuadro de "Conexiones de Red" pidiendo información de una pagina muy rara. Se me habrían pop up cada tres segundos. La maquina se colgaba de nada y todo funcionaba mal, además de que la protección activa del antivirus se había cortado misteriosamente y no la podía volver a poner. Lo reinstalé pero no pasó nada. Entonces traté de correr el antivirus desde el DOS y ahí detecto 5 virus (pero con las definiciones del cd no actualizadas). Borró 4 y uno no pudo. Pero la máquina seguía funcionando igual. En Internet no podía hacer nada. Entonces leyendo un poco vi que recomendaban firewalls que era lo que me faltaba. Usando el Kerio Personal Firewall pude ver que algunos de los archivos "sospechosos" mientras yo estaba conectado a Internet estaban bajando información a toda velocidad, es decir en Outgoing me figuraba casi toda la velocidad en un par de archivos como itune.exe que abría miles de puertos. Denegué las acciones de esos archivos "sospechosos" y ahora veo que esos no abren mas puertos y que no sale información por ahí. Igualmente haciendo el escaneo online de Norton encontré ¡20 virus¡ de los cuales pude borrar 18, me quedaron dos (nombrados abajo en negrita) También usé el Ad-Aware y el SpyBot y borré todos los spyware que encontré. Ahora la maquina anda bastante mejor, pero creo que si no borró todos los virus pueden contraatacar. Ahora el problema que tengo es que cuando hago click en un vínculo del Explorer y abre una ventana nueva no se carga la información, pero si en esa misma ventana copio la dirección del vínculo anterior y la pego se abre la ventana. Quisiera saber si esto tiene relación con algún virus o está mal configurado algo. A veces pasa, aunque cada vez menos, que estoy en la primera ventana que abrí del Explorer y de repente no puedo ir a otra pagina si la escribo, pero si estoy en Yahoo y pongo algo para buscar si va a otra pagina. Nótese que tengo JavaScript pero si abro una ventana con ese modo no se carga nada. El firewall dice que la aplicación “Remote access dialer” lanza aplicaciones cada dos segundos no se porque los carteles aparecen cada dos segundos (dice Launched por Generic Host Process for Win 32 Services), una vez que empieza con eso por ej si quiero usar el HijackThis la ventana se ve un segundo y se cierra (no tengo problemas con otros progrmas pero no se que carga). Por último, no puedo instalar el Norton Antivirus (2004). En fin, les pasó mi log de HijackThis para saber si encuentran algo sospechoso, desde ya les agradezco y espero que me puedan ayudar.
Primero, estos son los dos virus que no pude borrar de ningun modo
C:\WINDOWS\system32\MSAOL32.exe está infectado con W32.Spybot.Worm
C:\WINDOWS\system32\hwclock.exe está infectado con W32.Wallz (esté archivo no me aparece en la maquina, aunque se ven los archivos ocultos, sin embargo el firewall dice que este intenta conectarse)
Logfile of HijackThis v1.99.1
Scan saved at 11:49:38, on 05/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es-la\msnappau.exe
C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe
C:\WINDOWS\System32\MSAOL32.exe
C:\Archivos de programa\PTI800\ADSL\CnxDslTb.exe
C:\WINDOWS\System32\msn7.exe
C:\WINDOWS\System32\itune.exe
C:\WINDOWS\System32\wuamkop.exe
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\HJT\HijackThis\HijackThis.exe
C:\WINDOWS\System32\Logitechs.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\cfgwiz.exe
C:\Archivos de programa\PTI800\ADSL\CnxDslTb1.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\MSAOL32.exe
C:\WINDOWS\System32\itune.exe
C:\VSTASCAN\vsaccess.exe
C:\Archivos de programa\SpywareGuard\sgmain.exe
C:\Archivos de programa\SpywareGuard\sgbhp.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ar.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Archivos de programa\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es-la\msnappau.exe"
O4 - HKLM\..\Run: [AudioDeck] C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\PTI800\ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [MSN7 Startup] msn7.exe
O4 - HKLM\..\Run: [IPOT Service Drivers] itune.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamkop.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Logitechs] Logitechs.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IS CfgWiz] C:\Archivos de programa\Archivos comunes\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Archivos de programa\Norton Internet Security Professional\UrlLstCk.exe
O4 - HKLM\..\Run: [NAS CfgWiz] "C:\Archivos de programa\Archivos comunes\Symantec Shared\cfgwiz.exe" /GUID NAS /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitetni32.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\RunServices: [MSN7 Startup] msn7.exe
O4 - HKLM\..\RunServices: [IPOT Service Drivers] itune.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamkop.exe
O4 - HKLM\..\RunServices: [Logitechs] Logitechs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKCU\..\Run: [MSN7 Startup] msn7.exe
O4 - HKCU\..\Run: [IPOT Service Drivers] itune.exe
O4 - HKCU\..\RunServices: [IPOT Service Drivers] itune.exe
O4 - Startup: UMAX VistaAccess.lnk = C:\VSTASCAN\vsaccess.exe
O4 - Startup: SpywareGuard.lnk = C:\Archivos de programa\SpywareGuard\sgmain.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

Hola!!!

Bueno, pues tu pc está realmente infectada , asi que no me quiero ni imaginar como estaba antes de eliminar todo eso que cuentas.

Cuentas con un sistema vulnerable ya que no está actualizado, es muy importante que antes de que sigas los pasos que te voy a proponer, visites Windows Update y trates de descargar las actualizaciones críticas y de seguridad (SP2).

Sigue estos pasos:

1) Apaga Restaurar Sistema

2) Ver archivos ocultos

3) Pasa al menos 2 de estos Antivirus Online

4) Con el administrador de tareas (Ctrl+Alt+Supr) para estos procesos si se están ejecutando:

MSAOL32.exe
msn7.exe
itune.exe
wuamkop.exe
Logitechs.exe
elitetni32.exe
hwclock.exe

5) Ejecuta HijackThis con todos los programas cerrados y dale fix a:

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)

O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe

O4 - HKLM\..\Run: [MSN7 Startup] msn7.exe

O4 - HKLM\..\Run: [IPOT Service Drivers] itune.exe

O4 - HKLM\..\Run: [Microsoft Update] wuamkop.exe

O4 - HKLM\..\Run: [Logitechs] Logitechs.exe

O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitetni32.exe

O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe

O4 - HKLM\..\RunServices: [MSN7 Startup] msn7.exe

O4 - HKLM\..\RunServices: [IPOT Service Drivers] itune.exe

O4 - HKLM\..\RunServices: [Microsoft Update] wuamkop.exe

O4 - HKLM\..\RunServices: [Logitechs] Logitechs.exe

O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe

O4 - HKCU\..\Run: [MSN7 Startup] msn7.exe

O4 - HKCU\..\Run: [IPOT Service Drivers] itune.exe

O4 - HKCU\..\RunServices: [IPOT Service Drivers] itune.exe

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe

6) Reinicia a prueba de fallos

7) Busca y elimina estos archivos:

C:\WINDOWS\System32\MSAOL32.exe
C:\WINDOWS\System32\msn7.exe
C:\WINDOWS\System32\itune.exe
C:\WINDOWS\System32\wuamkop.exe
C:\WINDOWS\System32\Logitechs.exe
C:\windows\system32\elitetni32.exe
C:\WINDOWS\System32\hwclock.exe

Para archivos que no se dejen eliminar usa KillBox

8) Limpia el registro con RegSeeker y pasa Ad-Aware actualizado.

9) Elimina cookies y temporales de internet con Disk Cleaner y vacia la papelera.

10) Reinicia normal y nos cuentas los resultados.

Saludos

Bueno muchisimas gracias por la información dada . Ahora, tengo un problema con respecto a lo del Administrador de tareas: desde que la maquina inicia el xp pasan mas o menos 20 segundos en los que yo puedo usar ,por ejemplo, el HijackThis, como también podría ser el regedit o el msconfig. Ahora, pasado este tiempo (que me doy cuenta que termina porque se me abre la ventana de conexión a internet y porque el firewall me dice que se lanzan procesos del "Remote access dialer" desde el Generic Host de Win 32 Services) no puedo ni abrir el msconfig ni el regedit (es decir que si lo escribo en ejecutar no pasa nada, y si pongo el administrador de tareas a veces se abre en la barra de tareas uun icono con un cuadriculado verde pero cuando le acerco el mouse se cierra), y en el HijackThis no se porque pero la ventana se ve solo un segundo y vuelve a desaparecer. Entonces para parar los procesos tengo que hacerlo lo mas rapido posible antes de que no me deje el sistema. Para poder hacer analisis del sistema tiene que ser un antivirus que no abra una ventana con Javascript porq no me funciona y lo del HijackThis lo tendre que hacer en varias reiniciadas porque entre que leo y pongo fix ya dejo de funcionar el programa. En fin, va a estar muy complicado al principio, pero lo intentaré. Gracias de nuevo por su ayuda y espero venir con buenas noticias pronto!!!

Buenas amigos!!! parece que sale el sol para mi maquina. En menos de 24 hs y gracias a vuestra ayuda creo que ya pude borrar todos los virus y demás archivos perniciosos. El proceso que hice fue inverso al que uds me dijeron pero porque mi maquina no me permitia hacer las cosas como estaba planteado. Ahora, quedan dos cuestiones por saber, que quisiera saber si me pueden ayudar:

1) Bajé las actualizaciones de Windows XP como me dijeron pero me parece que no se bajo el SP2 sino otro tipo de actualizaciones "criticas y de seguridad". Necesito bajar el SP2 o con lo que hice es suficiente. En caso de necesitarlo ¿donde lo encuentro?
2) Cuando abro una ventana nueva (2da) de IE no me carga nada. Pensé que podía ser una influencia de los virus pero ahora que no están (al menos eso dice el Norton) veo que el problema quizá pasa por otro lado. Tengo el Javascript instalado, pero aún asi sus aplicaciones no se abren. En el firewall desbloquee los pop up como lei en alguna pagina que hay que hacer para que no suceda esto que me pasa. En todo caso, quisiera saber si hay un modo de reconfigurar eso.
Desde ya les doy muchisimas gracias por todo lo que hicieron, en esta semana creo que aprendí más cosas de Internet que en toda mi vida, desde ya que me va a servir para manejarme con más cuidado y para alertar a los demás de como usar la Pc de un modo más seguro. Suerte y sigan en la lucha!!!

Perdón, pero me olvidé de poner mi log de HijackThis para que vean si aún quedó algo volando por mi sistema. Esperemos que no gracias de nuevo amigos!!!

Logfile of HijackThis v1.99.1
Scan saved at 5:54:56, on 06/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe
C:\ARCHIV~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe
C:\ARCHIV~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es-la\msnappau.exe
C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\PTI800\ADSL\CnxDslTb1.exe
C:\VSTASCAN\vsaccess.exe
C:\Archivos de programa\SpywareGuard\sgmain.exe
C:\Archivos de programa\SpywareGuard\sgbhp.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Archivos de programa\Microsoft Office\Office10\WINWORD.EXE
C:\HJT\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ar.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = proxy.uolfast.com.ar:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Archivos de programa\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es-la\msnappau.exe"
O4 - HKLM\..\Run: [AudioDeck] C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\PTI800\ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Archivos de programa\Norton Internet Security Professional\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: UMAX VistaAccess.lnk = C:\VSTASCAN\vsaccess.exe
O4 - Startup: SpywareGuard.lnk = C:\Archivos de programa\SpywareGuard\sgmain.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C:oo.mht!http://198.88.20.155/targ.chm::/win32.exe
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: DefWatch - Symantec Corporation - C:\ARCHIV~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Unknown owner - (no file)
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\ARCHIV~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

Bien ejecuta el HijackThis y dale fix a estas entradas

O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C: oo.mht!http://198.88.20.155/targ.chm::/win32.exe

O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab

Despues reinicia eh inicia en modo a prueba de fallos y borra estos archivos

c:\eied_s7.cab
c:\ex.cab

Reinicia nuevamente en modo normal y si el problema persiste ejecuta esta herramienta llamada MWAV.exe . Esta herramienta no elimina en su versión gratuita pero genera un log donde te dirá los archivos infectados. Este log es muy largo por lo que te pido que sólo copies los archivos reconocidos como infectados.

Salu2

Hola ElPiedra , te comento que hice lo que me dijiste, le di fix a las tres entradas y borre en modo a prueba de fallos esos dos archivos. No se a que te referias con "si el problema persiste"; el problema que veo en este momento es ese que te comenté de las ventanas nuevas que abro pero que no cargan nada, y ahora se sumó el tema de que cuando descargo un archivo en el IE la ventana solo muestra la descarga hta un principio (por ej con el mwav.exe que me dijiste que bajara llegó hta el 3% y la ventana no actualiza más la info). Además está el tema de que ya van un par de veces que hago un scan online con el RAV y Trust y que me encuetran un archivo (msiwe1.exe) que primero aparece en system32 y despues en c:\!submit, donde además apareció el Logitechs.exe el cual yo había borrado hace menos de 12 horas, y un archivo llamado GatorPatch.log, sospechoso como ninguno jaja. Igualmente ya los borré, pero si van a ir pasando de una carpeta a otra cuando termina de desaparecer? espero que mi log pueda dar una pista sobre lo que sucede. El MWAV.EXE no lo puedo bajar por el problema que mencioné anteriormente. Por lo pronto voy a seguir haciendo escaneos online de virus para ver si los archivos siguen transladandose de carpeta a carpeta por todo mi disco rigido. Muchisimas gracias por todo saludos!!!!

Logfile of HijackThis v1.99.1
Scan saved at 14:51:54, on 06/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe
C:\ARCHIV~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\ARCHIV~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es-la\msnappau.exe
C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\VSTASCAN\vsaccess.exe
C:\Archivos de programa\SpywareGuard\sgmain.exe
C:\Archivos de programa\PTI800\ADSL\CnxDslTb1.exe
C:\Archivos de programa\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\HJT\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ar.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = proxy.uolfast.com.ar:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Archivos de programa\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es-la\msnappau.exe"
O4 - HKLM\..\Run: [AudioDeck] C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\PTI800\ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Archivos de programa\Norton Internet Security Professional\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: UMAX VistaAccess.lnk = C:\VSTASCAN\vsaccess.exe
O4 - Startup: SpywareGuard.lnk = C:\Archivos de programa\SpywareGuard\sgmain.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C26CC708-DA4A-4CC7-8282-DB8AD0A1C27A}: NameServer = 216.244.211.2 216.244.211.3
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: DefWatch - Symantec Corporation - C:\ARCHIV~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Unknown owner - (no file)
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\ARCHIV~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

Quisiera agregar, además de lo anterior, que intenté bajar el SP2, pero cuando lo tiene que instalar se ve que se aviva que no está registrado y desiste. Como poner el SP2 entonces? gracias de nuevo y espero que me puedan ayuudar con los mensajes anteriores

Buenas, paso a explicar como va este caso. En primer lugar, no instalé el SP2 ya que no dispongo de un Windows legal. Tampoco puedo comprar un XP nuevo, puesto que no vivo en Europa, y acá la relación monetaria hace que sea bastante más caro tener ese producto. Eso en cuanto a lo del XP. En cuanto al resto, de todos los problemas que mencioné solo habia quedado el de los spyware elitum.elitebar (en el registro) que detectaba el spybot, el cual mencioné hace mas o menos 3 semanas y me dijeron que no lo separara del problema gral, aunque no recibi respuesta sobre eso. Durante estas últimas semanas no había tenido problema alguno, salvo eso, que lo dejé pasar porque no veia que afectara la maquina de modo directo. Ahora no se porque motivo, pero están "reapareciendo" los virus. Hace un par de dias, mientras estaba online, el norton me detecto un virus en system32 (los que son tipo tftp) y lo puso en cuarentena. Lo borro y luego vuelve a aparecer otro virus, como por ejemplo el msnt32.exe, luego el ms32.exe, luego el ssmss.exe y asi, es como si estuviese siempre corriendo detrás de los virus, aparece uno y borro para que aparezca uno nuevo y asi. Además, siempre que se inicia la máquina (y despues), se abre un cartel del Firewall (Kerio) que dice que el Remote Access Dialer (rasatou.exe), lanzado por el "Generic Host proccess for Win32 Services" quiere lanzar una aplicacion, y asi se renueva el cartel cada un minuto exacto. Les voy a pasar mi log de Hijack This para ver si ahi hay algo, y además me bajé el mwav.exe ya que vi que ustedes lo recomiendan mucho y les voy a pasar mi log de archivos infectados. Pero sin entender sobre el tema, parece ser como que si uno, por mas que borre permanentemente spywares y virus, si en el registro hay una entrada que "provoca" los virus estos van a seguir existiendo ad eternum. Es lo único que se me ocurre con la poca experiencia que tengo en esto. Muchisimas gracias, espero que esto ayude!


Logfile of HijackThis v1.99.1
Scan saved at 15:31:38, on 23/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe
C:\ARCHIV~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es-la\msnappau.exe
C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\ctfmon.exe
C:\VSTASCAN\vsaccess.exe
C:\Archivos de programa\PTI800\ADSL\CnxDslTb1.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\Archivos de programa\Windows NT\Accesorios\wordpad.exe
C:\WINDOWS\explorer.exe
C:\HJT\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = proxy.uolfast.com.ar:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es-la\msnappau.exe"
O4 - HKLM\..\Run: [AudioDeck] C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\PTI800\ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: UMAX VistaAccess.lnk = C:\VSTASCAN\vsaccess.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\ARCHIV~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Unknown owner - (no file)
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\ARCHIV~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

PEGO EL DE MWAV.EXE EN UNA NUEVA VENTANAA PORQUE NO ME DEJA PONERLA AQUI.

LOG DEL MWAV.EXE (COPIE LA VENTANA QUE DICE "VIRUS LOG INFORMATION" SUPONGO QUE ESA ES LA QUE TIENE LOS ARCHIVOS INFECTADOS)
Mon May 23 15:21:18 2005 => Total Objects Scanned: 95561
Mon May 23 15:21:18 2005 => Total Virus(es) Found: 23
Mon May 23 15:21:18 2005 => Total Disinfected Files: 0
Mon May 23 15:21:18 2005 => Total Files Renamed: 0
Mon May 23 15:21:18 2005 => Total Deleted Objects: 0
Mon May 23 15:21:18 2005 => Total Errors: 84
Mon May 23 15:21:18 2005 => Time Elapsed: 01:29:15
Mon May 23 15:21:18 2005 => Virus Database Date: 2005/05/23
Mon May 23 15:21:18 2005 => Virus Database Count: 131254

Mon May 23 15:21:18 2005 => Scan Completed.

Object "BearShare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "EliteBar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKCR\CLSID\{0DED49D5-A8B7-4d5d-97A1-12B0C195874D}" refers to invalid object "BdaPlgin.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}" refers to invalid object "fde.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{9EFBF860-5685-11D3-AA3D-00C04F4C5275}" refers to invalid object "cdooff.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{FD0A5AF3-B41D-11d2-9C95-00C04F7971E0}" refers to invalid object "BdaPlgin.ax". Action Taken: No Action Taken.
Entry "HKCR\asLogHlp.ASLogHelper" refers to invalid object "{E7F2EA56-D440-4A72-A347-4A6C337B6DD9}". Action Taken: No Action Taken.
Entry "HKCR\asLogHlp.ASLogHelper.1" refers to invalid object "{E7F2EA56-D440-4A72-A347-4A6C337B6DD9}". Action Taken: No Action Taken.
Entry "HKCR\asLUCbk.LUCallback" refers to invalid object "{6F66DDAD-FC5D-41ac-9D4E-0BE553E7E618}". Action Taken: No Action Taken.
Entry "HKCR\asLUCbk.LUCallback.1" refers to invalid object "{6F66DDAD-FC5D-41ac-9D4E-0BE553E7E618}". Action Taken: No Action Taken.
Entry "HKCR\NiSPlug.NISProduct2002" refers to invalid object "{CAE323C3-7FE8-11D3-8B2D-005004D71BAF}". Action Taken: No Action Taken.
Entry "HKCR\NiSPlug.NISProduct2002.1" refers to invalid object "{CAE323C3-7FE8-11D3-8B2D-005004D71BAF}". Action Taken: No Action Taken.
Entry "HKCR\NiSPlug.NISStatistics" refers to invalid object "{CAE323CC-7FE8-11D3-8B2D-005004D71BAF}". Action Taken: No Action Taken.
Entry "HKCR\NiSPlug.NISStatistics.1" refers to invalid object "{CAE323CC-7FE8-11D3-8B2D-005004D71BAF}". Action Taken: No Action Taken.
Entry "HKCR\NiSPlug.NISSubscription" refers to invalid object "{CAE323C8-7FE8-11D3-8B2D-005004D71BAF}". Action Taken: No Action Taken.
Entry "HKCR\NiSPlug.NISSubscription.1" refers to invalid object "{CAE323C8-7FE8-11D3-8B2D-005004D71BAF}". Action Taken: No Action Taken.
Entry "HKCR\NiSPlug.NIS_NSW_IntegrationCategory" refers to invalid object "{733CC4B1-6650-4946-980F-825742701BB3}". Action Taken: No Action Taken.
Entry "HKCR\NiSPlug.NIS_NSW_IntegrationCategory.1" refers to invalid object "{733CC4B1-6650-4946-980F-825742701BB3}". Action Taken: No Action Taken.
Entry "HKCR\NiSPlug.NIS_NSW_IntegrationProduct" refers to invalid object "{7EB31067-0561-45cc-A9B7-765969B8A908}". Action Taken: No Action Taken.
Entry "HKCR\NiSPlug.NIS_NSW_IntegrationProduct.1" refers to invalid object "{7EB31067-0561-45cc-A9B7-765969B8A908}". Action Taken: No Action Taken.
Entry "HKCR\PrivateProfile.PrivateProfileEngine" refers to invalid object "{C3EDEA8D-CE3F-4AF2-A883-2069306215BA}". Action Taken: No Action Taken.
Entry "HKCR\PrivateProfile.PrivateProfileEngine.1" refers to invalid object "{C3EDEA8D-CE3F-4AF2-A883-2069306215BA}". Action Taken: No Action Taken.
Entry "HKCR\RLevel.NISBlockList" refers to invalid object "{FFB78858-77B5-419D-8869-31F0E6277DEB}". Action Taken: No Action Taken.
Entry "HKCR\RLevel.NISBlockList.1" refers to invalid object "{FFB78858-77B5-419D-8869-31F0E6277DEB}". Action Taken: No Action Taken.
Entry "HKCR\RLevel.NISIDSSettings" refers to invalid object "{C18F8AA8-96E5-4D18-8886-1DEB82898E89}". Action Taken: No Action Taken.
Entry "HKCR\RLevel.NISIDSSettings.1" refers to invalid object "{C18F8AA8-96E5-4D18-8886-1DEB82898E89}". Action Taken: No Action Taken.
Entry "HKCR\RLevel.NISReportingLevel" refers to invalid object "{75D7FC19-C634-4744-B4EC-A2D6BD06F9F0}". Action Taken: No Action Taken.