Saludetes de new:

Después de haber desactivado restaurar sistema, desocultado todos archivos y en modo seguro correrle los siguientes programas:

* Look2Me-Destroyer
* Aboutbuster 6.02
* Mwav eScan Antivirus (Ver 8.3.4)
* Ad-Aware SE Personal 1.06r1
* Spybot Search & Destroy 1.4
* Ewido anti-malware 3.5
* Antivirus AV Personal Edition 7

...me salen estos logs:

AboutBuster 6.02
Scan started on [17/06/2006] at [4:22:19]
-------------------------------------------------------------
Internet Explorer Instances Terminated!
HomeSearch Service stopped if present
-------------------------------------------------------------
No Ads Found!
-------------------------------------------------------------
No Files Found!
-------------------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 4:23:12


Sat Jun 17 16:38:23 2006 => ************************************************** ********
Sat Jun 17 16:38:23 2006 => Herramientas eScan Antivirus.
Sat Jun 17 16:38:23 2006 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Sat Jun 17 16:38:23 2006 => ************************************************** ********
Sat Jun 17 16:38:23 2006 => Source: C:\DOCUME~1\Admin\ESCRIT~1\mwav.exe
Sat Jun 17 16:38:23 2006 => Version 8.3.4
Sat Jun 17 16:38:23 2006 => Archivo de Registro: C:\DOCUME~1\Admin\CONFIG~1\Temp\MWAV.LOG
Sat Jun 17 16:38:23 2006 => Last Scan Date and Time: 17.06.2006 14:58:15
Sat Jun 17 16:38:23 2006 => MWAV Registered: FALSE.
Sat Jun 17 16:38:23 2006 => User Account: Admin
Sat Jun 17 16:38:23 2006 => OS Type: Windows Workstation
Sat Jun 17 16:38:23 2006 => OS: Windows XP
Sat Jun 17 16:38:23 2006 => Ver: Service Pack 2 (Build 2600)
Sat Jun 17 16:38:23 2006 => Windows Root Folder: C:\WINDOWS
Sat Jun 17 16:38:23 2006 => Windows Sys32 Folder: C:\WINDOWS\system32
Sat Jun 17 16:38:23 2006 => Local Fixed Drives: c:\,f:\
Sat Jun 17 16:38:23 2006 => MWAV Mode: Only Scan files.
Sat Jun 17 16:38:23 2006 => Ultima fecha de Archivos dentro de MWAV: 14 Jun 2006 11:57:29.
Sat Jun 17 16:38:26 2006 => Libreria AV cargada...
Sat Jun 17 16:38:26 2006 => MWAV doing self scanning...
...
Sat Jun 17 16:55:58 2006 => ERROR!!! Invalid Entry \??\C:\Archivos de programa\SpyBro\Antispy.sys in SYSTEM\CurrentControlSet\Services\Antispy...
...
Sat Jun 17 16:56:07 2006 => ***** Scanning Registry and File system for Adware/Spyware *****
Sat Jun 17 16:56:07 2006 => Loading Spyware Signatures from new External Database (Size: 160279).
Sat Jun 17 16:56:09 2006 => Indexed Spyware Databases Successfully Created...

Sat Jun 17 16:56:10 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uni nstall\emule !!!
Sat Jun 17 16:56:13 2006 => Object "emule P2P-worm" found in File System! Action Taken: Ninguna Accion fue realizada.

Sat Jun 17 16:56:13 2006 => Offending Key found: HKCU\Software\emule !!!
Sat Jun 17 16:56:13 2006 => Object "emule P2P-worm" found in File System! Action Taken: Ninguna Accion fue realizada.

Sat Jun 17 16:56:17 2006 => Offending Folder found: C:\Documents and Settings\All Users\Menú Inicio\Programas\emule
Sat Jun 17 16:56:17 2006 => Object "emule P2P-worm" found in File System! Action Taken: Ninguna Accion fue realizada.

Sat Jun 17 16:56:17 2006 => Offending Folder found: C:\Documents and Settings\All Users\Menú Inicio\programas\emule
Sat Jun 17 16:56:17 2006 => Object "emule P2P-worm" found in File System! Action Taken: Ninguna Accion fue realizada.
...
Sat Jun 17 16:57:27 2006 => ERROR!!! FindFirstFile For %SystemRoot%\Temporary Internet Files\*.* Failed!!! Reason is El sistema no puede hallar la ruta especificada. (0x3)
...
Sat Jun 17 16:57:28 2006 => Examinando Archivo C:\!KillBox\svchost.exe
Sat Jun 17 16:57:28 2006 => Archivo C:\!KillBox\svchost.exe infectado por "P2P-Worm.Win32.Kapucen.b" Virus. Acción Tomada: Ninguna Accion fue realizada.

Sat Jun 17 16:57:28 2006 => Examinando Archivo C:\23990098.$$$ [**]
...
Sat Jun 17 17:02:32 2006 => ERROR!!! FindFirstFile For C:\Documents and Settings\Admin\Mis documentos\s?stem\*.* Failed!!! Reason is El nombre de archivo, directorio o etiqueta del volumen no es válido. (0x7b)
...
Sat Jun 17 17:03:03 2006 => Examinando Archivo C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\CoolWWWSearchWinRes.zip
Sat Jun 17 17:03:03 2006 => Result: ERROR!!! File C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\CoolWWWSearchWinRes.zip is Not Scanned
Sat Jun 17 17:03:03 2006 => C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\CoolWWWSearchWinRes.zip no fue examinado. Posiblemente se encuentre protegido con contraseña...
Sat Jun 17 17:03:03 2006 => Examinando Archivo C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SexList.zip
Sat Jun 17 17:03:03 2006 => Result: ERROR!!! File C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SexList.zip is Not Scanned
Sat Jun 17 17:03:03 2006 => C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SexList.zip no fue examinado. Posiblemente se encuentre protegido con contraseña...
Sat Jun 17 17:03:03 2006 => Examinando Archivo C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\Spyblocs.zip
Sat Jun 17 17:03:03 2006 => Result: ERROR!!! File C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\Spyblocs.zip is Not Scanned
...
Sat Jun 17 17:50:01 2006 => ERROR!!! FindFirstFile For C:\WINDOWS\system32\?ppPatch\*.* Failed!!! Reason is El nombre de archivo, directorio o etiqueta del volumen no es válido. (0x7b)
...
Sat Jun 17 17:50:16 2006 => Result: ERROR!!! File F:\Archivos de programa\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask is Not Scanned
...
Sat Jun 17 17:59:50 2006 => Por Favor espere... Examinando archivo
Sat Jun 17 18:01:24 2006 => Por Favor espere... Examinando archivo
Sat Jun 17 18:02:58 2006 => Por Favor espere... Examinando archivo
Sat Jun 17 18:04:33 2006 => Por Favor espere... Examinando archivo
Sat Jun 17 18:06:06 2006 => Por Favor espere... Examinando archivo
Sat Jun 17 18:07:40 2006 => Por Favor espere... Examinando archivo
Sat Jun 17 18:09:13 2006 => Por Favor espere... Examinando archivo
Sat Jun 17 1847 2006 => Por Favor espere... Examinando archivo
Sat Jun 17 18:12:05 2006 => Aguarde unos instantes, saliendo de la aplicación...
Sat Jun 17 18:12:20 2006 => Por Favor espere... Examinando archivo

Sat Jun 17 18:12:37 2006 => Cancelación de Examen Requerido...
Sat Jun 17 18:12:38 2006 => Imposible cancelar Examen correctamrente!!!
Sat Jun 17 18:12:38 2006 => Examen Cancelado por el usuario

Sat Jun 17 18:12:39 2006 => Archivos Examinados:: 43134
Sat Jun 17 18:12:39 2006 => Virus Encontrados:: 5
Sat Jun 17 18:12:39 2006 => Archivos Desinfectados:: 0
Sat Jun 17 18:12:39 2006 => Archivos Renombrados:: 0
Sat Jun 17 18:12:39 2006 => Archivos Eliminados:: 0
Sat Jun 17 18:12:39 2006 => Errores:: 8
Sat Jun 17 18:12:39 2006 => Tiempo Transcurrido:: 01:15:51
Sat Jun 17 18:12:39 2006 => ***** Examen Completo. *****
Sat Jun 17 18:12:39 2006 => Fecha de Base de Datos de Virus: 6/14/2006
Sat Jun 17 18:12:39 2006 => Conteo de Base de Datos de Virus: 200393

Sat Jun 17 18:12:39 2006 => Examen Completo.

Ya tuve que pararlo porque me iba lentisisisisimo, el gusano no me dejaba correrlo bien... :(


Logfile of HijackThis v1.99.1
Scan saved at 18:21:49, on 17/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5346.0005)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.es/webhp?hl=es&btnG=B%C3%BAsqueda+en+Google&lr=lang_e s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.es/webhp?hl=es&btnG=B%C3%BAsqueda+en+Google&lr=lang_e s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.jippii.es/?st4w0ZE1XsQBavszuq7wTEbdB
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.es/webhp?hl=es&btnG=B%C3%BAsqueda+en+Google&lr=lang_e s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.es/webhp?hl=es&btnG=B%C3%BAsqueda+en+Google&lr=lang_e s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.es/webhp?hl=es&btnG=B%C3%BAsqueda+en+Google&lr=lang_e s
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.es/webhp?hl=es&btnG=B%C3%BAsqueda+en+Google&lr=lang_e s
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.es/webhp?hl=es&btnG=B%C3%BAsqueda+en+Google&lr=lang_e s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.es/webhp?hl=es&btnG=B%C3%BAsqueda+en+Google&lr=lang_e s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.es/webhp?hl=es&btnG=B%C3%BAsqueda+en+Google&lr=lang_e s
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.es/webhp?hl=es&btnG=B%C3%BAsqueda+en+Google&lr=lang_e s
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - F:\Archivos de programa\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [CpuIdle] F:\Archivos de programa\CpuIdle\Cpuidle.exe
O4 - HKLM\..\Run: [avgnt] "F:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Global Startup: GetRight - Tray Icon.lnk = F:\Archivos de programa\GetRight\getright.exe
O8 - Extra context menu item: Download with GetRight Pro - F:\Archivos de programa\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Pro Browser - F:\Archivos de programa\GetRight\GRbrowse.htm
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1149761986248
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{39EA7431-A878-4CC7-99AF-A64FFE1A013F}: NameServer = 87.216.1.65,87.216.1.66
O17 - HKLM\System\CCS\Services\Tcpip\..\{D88E30C7-C839-49CB-8489-FB63BB1E1C61}: NameServer = 87.216.1.65,87.216.1.66
O17 - HKLM\System\CS1\Services\Tcpip\..\{39EA7431-A878-4CC7-99AF-A64FFE1A013F}: NameServer = 87.216.1.65,87.216.1.66
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - F:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido security suite control - ewido networks - F:\Archivos de programa\Ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - F:\Archivos de programa\Ewido anti-malware\ewidoguard.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - F:\Archivos de programa\TuneUp Utilities\WinStylerThemeSvc.exe


Aqui esta todo, me temo que esto casi no tiene solucion, mas que nada porque el jodido gusano es de los ultimos que han salido... Creo que el NOD32 tb lo detecta, pero bueno no se que hacer, prefiero dejarlo aqui para ver si vosotros me podeis ayudar como sabeis hacer...


Gracias por vuestro tiempo...

Pd: Mejor me suicido, no?

Hola dogus, el log de Hijackthis está limpio y el reporte de MWAV detecta al emule como infectado puede que se trate de un falso positivo, en todo caso desinstala el emule pasa el Regseeker para Limpiar el Registro, pásalo hasta q no quede nada para eliminar, y luego vuelve a instalarlo.

También encuentra la carpeta del backup de Killbox por lo que puedes eliminar esta carpeta con todo su contenido.

C:\!KillBox\

También encuentra la algunos elementos en la recuperación de Spybot por lo que debes vaciarla.

Si NOD32 encuentra algo sospechoso, coméntanos que es lo que está encontrando, en que ubiacaciuín, es preferible que nos pegues un reporte de este para analizarlo.

Ya nos contarás.

Saludos

ya, ya esta arreglado, me faltaba instalar el nod32, y pasarlo. Era el kapece.b, no veas, virus nuevecito, pero weno el nod esta mas nuevecito todavia jeje

Todo solucionado

ASIAS !!!

:)

pd: lo q hice fue todo lo q dijiste, y pasarle el ccleaner, buscar el archivo svchost.exe (q habian 2 q eran el virus y otros 3 los legitimos). Uno de los svchost estaba en !killbox. Hay q tener cuidadito con esa carpetita q te instala el killbox pa los backups... :)

El archivo svchost.exe es válido y pertenece al sistema, siempre y cuando se encuentre dentro de la carpeta system32, cualquier svchost que se encuentre fuera de esta carpeta es muy probable que se trate de un malware.

La carpeta !Killbox se crea cuando NO se utiliza la opción Delete on reebot. El Manual de Killbox menciona que debe usarse esa opción, así evitarás que se cree esa carpeta

Damos el tema por solucionado

Saludos