hola ,les cuento ,baje un programa (tomahawk gold)para hacer pdf de una pagina china y cuando ejecute el instalador norton detuvo varios virus,pero igual se instalaron algunos programas ,el mas molesto el que me cambiaba los fondos del escritorio (ie-bar)programa en idioma chino ,mas omenos lo elimine ya no se me cambian los fondos,lo q qeda es q al hacer click con el boton derecho encima de las paginas (navegando) me aparece una opcion en idioma chino parece. a e internet me esta generando errores mas seguido q antes y dice debe cerrarse. pase kaspersky online y me detecto :
C:\Archivos de programa\Internet Explorer\LoadDriver.exe Infected: Trojan-Downloader.Win32.Agent.anu
C:\WINDOWS\system32\bdextinsU208.exe/data.rar/dnsec.exe Infected: Trojan-Downloader.Win32.VB.aeg
C:\WINDOWS\system32\bdextinsU208.exe/data.rar Infected: Trojan-Downloader.Win32.VB.aeg
C:\WINDOWS\Temp\bg.exe Infected: Trojan-Dropper.Win32.Mudrop.bs
LOS ELIMINE TODOS MANUAL YA Q NORTON NI AD-AWARE LOS ELIMINABAN,

PANDA ON-LINE DETECTO 4 SPYWARE:
Adware:Adware/Borlander No desinfectado C:\WINDOWS\system32\mshlink.dll
Adware:Adware/BHOcn No desinfectado C:\WINDOWS\system32\MSHLP.DLL Adware:adware/borlander No desinfectado Registro de Windows Adware:Adware/DesktopMedia No desinfectado C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\FDN0DH97\t[1].rar (EL UNICO QUE PUDE ELIMINAR ES ESTE, LOS DEMAS NO SE DEJAN)

TENGO TROYAN EXPLORE Y ME DICE Q TENGO 2 VIRUS
(B/Bancos
C:\WINDOWS\SYSTEM32/rundll*.dll
Idem
C:\WINDOWS\SYSTEM32/iexplorer.exe
NO ME ATREVO A ELIMINARLOS MANUAL AQUI ESTA MI LOG: APARECE UNA ENTRADA (>>²ÊÐÅ·¢ËÍ<< -) en el log la marque en negrita para q la vean, Q ES LO MISMO QE ME APARECE EN EL MENU CUANDO APRETO EL BOTON DERECHO NAVEGANDO EN UNA PAGINA DE INTERNET.
OJALA ME AYUDENNNNNN SOBRE TOO CON LOS ARCHIVOS Q ME DETECTA TROYAN EXPLORER (iexplorer.exe , rundll*.dll )¿ELIMINARLOS O NO MANUALMENTE? ¿ES RUNDLL32.DLL(rundll*.dll )? POR Q ESTE CON ASTERISCO NO ESTA , ENTOO CASO NO ME DEJA ELIMINARLO ,PERO IEXPLORER SI SE PUEDE PERO NO ME ATREVO ,CHAO GRACIASSSSSSS


Logfile of HijackThis v1.99.1
Scan saved at 22:20:10, on 10-07-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Lexmark X1100 Series\lxbkbmon.exe
C:\Archivos de programa\D-Tools\daemon.exe
C:\ARCHIV~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\ARCHIV~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\Rtvcan.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\HJT\HijackThis.exe
C:\Archivos de programa\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duoc.cl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {08A312BB-5409-49FC-9347-54BB7D069AC6} - (no file)
O2 - BHO: MSHlper Class - {721E6521-4CAD-4A8D-A7F1-4E230B31EF19} - C:\WINDOWS\system32\MSHLP.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: CpapView Class - {77962960-536E-47EC-9DDB-52651519705F} - C:\WINDOWS\system32\Rundll32.dll
O2 - BHO: NewWeb Controller - {9ACEEE31-1440-471B-AA46-72B061FE7D61} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: internet explorer helper - {F7911E65-B01C-4A58-AEC7-53085ECA70A5} - C:\WINDOWS\system32\mshlink.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 3082
O4 - HKLM\..\Run: [Rtvcan] C:\WINDOWS\system32\Rtvcan.exe
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Archivos de programa\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MyShares] c:\program Files\Ò×»¢\MyShares.exe /tray
O4 - HKCU\..\Run: [LocalSystem] C:\WINDOWS\system\svchost.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Troyan Explore Antivirus.LNK = C:\EXTROYAN\EXTROYAN.EXE
O8 - Extra context menu item: >>²ÊÐÅ·¢ËÍ<< - res://C:\ARCHIV~1\MMSASS~1\Mmsass~1.dll/mms.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.olidata.it
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://www-secure.symantec.com/tech...a/LSSupCtl.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...l/SymAData.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - (no file)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

Hola......


Descarga las siguientes herramientas:

• Killbox
  
• Regseeker
  
• Disk Cleaner

Paso 1:

• Desactiva la restauración del sistema
  
• Configura el sistema para ver todos los archivos ocultos

Paso 2:

Ejecuta el hijackthis sin tener ningún otro programa abierto, marca y dale FixChecked a las siguientes entradas:

O2 - BHO: (no name) - {08A312BB-5409-49FC-9347-54BB7D069AC6} - (no file)
O2 - BHO: MSHlper Class - {721E6521-4CAD-4A8D-A7F1-4E230B31EF19} - C:\WINDOWS\system32\MSHLP.DLL
O2 - BHO: CpapView Class - {77962960-536E-47EC-9DDB-52651519705F} - C:\WINDOWS\system32\Rundll32.dll
O2 - BHO: NewWeb Controller - {9ACEEE31-1440-471B-AA46-72B061FE7D61} - (no file)
O2 - BHO: internet explorer helper - {F7911E65-B01C-4A58-AEC7-53085ECA70A5} - C:\WINDOWS\system32\mshlink.dll

O4 - HKCU\..\Run: [MyShares] c:\program Files\Ò×»¢\MyShares.exe /tray
O4 - HKCU\..\Run: [LocalSystem] C:\WINDOWS\system\svchost.exe

O8 - Extra context menu item: >>²ÊÐÅ·¢ËÍ<< - res://C:\ARCHIV~1\MMSASS~1\Mmsass~1.dll/mms.htm

O21 - SSODL: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - (no file)




Paso 3:

• Reinicia el sistema en modo a prueba de fallos (modo seguro)

Copia y pega las siguientes entradas en el Killbox (una a la vez) donde dice "Full Path of File to Delete" y le das click al boton rojo con cruz blanca del programa para eliminar el archivo:

C:\WINDOWS\system32\MSHLP.DLL

C:\WINDOWS\system32\mshlink.dll

C:\WINDOWS\SYSTEM32\iexplorer.exe

C:\WINDOWS\system\svchost.exe

c:\program Files\Ò×»¢\MyShares.exe --> Elimina también la carpeta que te dejé remarcada en rojo


Sobre el archivo rundll*.dll, no, no es lo mismo que el rundll32.dll, sin embargo, no te pido eliminarlo con el killbox porque alguna falla en el código de programación del programa podría ver al símbolo "*" como un comodín de programación indicando que cualquier caracter puede ser dicho símbolo. Lo más sano es que vayas a la carpeta system32 y allí busques ese archivo y lo elimines mientras sigues en modo a prueba de fallos


Limpia los temporales y cookies con el Disk Cleaner

Limpia el registro de windows con el Regseeker (pásalo varias veces hasta que no quede nada por limpiar)



Paso 4:

Reincia el sistema en modo normal

Haz un chequeo con los antivirus online Kaspersky y Ewido


Nos comentas como te fue y dejas un nuevo log para ver como quedó



Salu2

hola,yo denuevo.Segui todos los pasos qe me dijeron, al eliminar archivos con el killbox los ultimos dos no se encontraban ,creo q decia algo como q ya habian sido eliminados del equipo.limpie los temporales de internet cookies e historial con disck cleaner(no me atrevi a eliminar temp. de sistema es primera vez q lo uso) Y limpie el registro y salio arta basura.Ahora el Extroyan solo me detecta como virus al rundll*.dll(en system32 solo esta rundll32.dll ,ningun otro q se paresca por eso no lo eliminé) Y se desaparecio el menu chino q aparecia con el boton derecho.PASE KASPERSKY ON-LINE Y NO DETECTA MALARWARE SOLO ARCHIVOs QUE ESTAN BLOQUEADOS (THE OBJECTS IS BLOCKED, SKEPPED) Y PASE TAMBIEN PANDA ON-LINE Y ME DETECO ESTO :

Adware:Adware/Borlander No desinfectado C:\Archivos de programa\HJT\backups\backup-20060711-141001-116.dll

Adware:Adware/BHOcn No desinfectado C:\Archivos de programa\HJT\backups\backup-20060711-141001-959.dll
Adware:Adware/DesktopMedia No desinfectado C:\WINDOWS\Installer\e7b97ff.msi[unk_0014]
Adware:Adware/DesktopMedia No desinfectado C:\WINDOWS\system32\VIPTray.exe
Adware:Adware/BHOcn No desinfectado C:\WINDOWS\system32\WEBDLL.DLL
Adware:Adware/DesktopMedia No desinfectado C:\WINDOWS\system32\wmpcda.exe

EN EL MENSAJE ANTERIOR NO MENCIONE Q EN LOS PRIMEROS ANALISIS ON LINE TAMBIEN ELIMINÉ ESTE ARCHIVO Rtvcan.sys(EN LA CARPETA SYSTEM32 DE WINDOWS)PORQUE KASPERSKY ME PONIA ESTO Infected: Trojan-Spy.Win32.KeySpy.o ,EL PROBLEMA ES Q AHORA AL INICIAR EL PC CUANDO COMIENZA A APARECER EL ESCRITORIO ME SALE LO SIGUIENTE: ERROR "COULD NOT DEVICE" Y EN LA BARRA DE TAREAS SALE COMO EL ICONO DEL MENSAJE DE ERROR ,O SEA A Q PROGRAMA O ARCHIVO PERTENECE EL ERROR , Y ES EL MISMO ICONO DEL ARCHIVO Rtvcan.exe Q ESTABA AL LADO DEL Rtvcan.sys EN SYSTEM32, QUE ELIMINÉ.(PUSE Rtvcan.sys EN GOOGLE Y ME SALIERON PURAS PAGINAS CHINAS, ALOMEJOR TIENE Q VER CON EL VIRUS, NO LO SE) BUENO YA NO ÉLIMINO NADA MAS SIN PREGUNTAR ,ASÍ QUE ESPERO SUS CONSEJOS MEJOR. GRACIASSSSS ¿QUE HAGO CON rundll*.dll? ¿como élimino eso que detectó panda on-line?¿SE PUEDE ARREGLAR ESO DEL ERROR "COULD NOT DEVICE"?

AQUI ESTA MI NUEVO LOG PARA QUE VEAS COMO QEDÓ DESPUES DE SEGUIR TODOS TUS CONSEJOS HASTA LUEGO ESPERO TU RESPUESTAAA XAU.

Logfile of HijackThis v1.99.1
Scan saved at 0:50:18, on 12-07-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\ARCHIV~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\ARCHIV~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\D-Tools\daemon.exe
C:\Archivos de programa\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duoc.cl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 3082
O4 - HKLM\..\Run: [Rtvcan] C:\WINDOWS\system32\Rtvcan.exe
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Archivos de programa\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Troyan Explore Antivirus.LNK = C:\EXTROYAN\EXTROYAN.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.olidata.it
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

Vamos por partes:


Lo del Rtvcan.exe, si, es un virus, un exploit mejor dicho de caracter polimórfico, que lo hayas borrado es correcto, ahora para solucionar el problema del mensajito que aparece cada vez reportando perdido este archivo, dale fix a esta entrada:

O4 - HKLM\..\Run: [Rtvcan] C:\WINDOWS\system32\Rtvcan.exe


Sobre lo que detectó el panda, usa el killbox igual que antes y elimina estos archivos:

C:\WINDOWS\Installer\e7b97ff.msi

C:\WINDOWS\system32\VIPTray.exe


C:\WINDOWS\system32\WEBDLL.DLL

C:\WINDOWS\system32\wmpcda.exe


Sobre lo del rundll*.dll, empiezo a sospechar que es un fallo del trojan explorer dado que simplemente no se puede usar un comodin típico de los lenguajes de programación para señalar una infección de ese tipo y que por demás, no haya encontrado ninguno de los scaners online

Lo más que te podría recomendar es, si quieres, hacer un reporte con el mwav y dejarnos acá las entradas que digan Tagged o Infected


Y por favor, trata de no escribir todo en mayúscula porque eso en Internet significa gritar




Salu2

hola, que tal, bueno yo poraca de nuevo (que paciencia que tienes ),Se soluciono el problema del mensajito "Could not device" ,tambien elimine con killbox los archivos q detecto panda. Lo que no se soluciona es que el Extroyan sigue detectando a rundll*.dll como virus y ahora tambien me detecta a regedit.com , Esto es lo que aparece:
Mydoom
C:\WINDOWS/regedit.com
B/Bancos
C:\WINDOWS\SYSTEM32/rundll*.dll

Creeme que confío plenamente en ti sobre que puede ser un fallo del extroyan lo de rundll*.dll , ¿pero regedit.com se puede eliminar ?¿como? ¿es un virus,spyware o algo asi? ¿porque he encontrado tantos archivos malos en la pc en un solo momento? ¿no sera que tengo un virus que descarga de internet mas virus o spyware? (SOY UN POCO CURIOSO YO..... JAJA.....ESQUE IGUAL ME GUSTA APRENDER UN POQUITO,ESQUE ESTOY EN PRIMER AÑO DE ADMINISTRACION DE REDES COMPUTACIONALES Y ME GUSTA UN POCO EL TEMA DE LOS VIRUS)

Tambien hice mi reporte con mwav aqui esta ,trate de resumir lo mas importante y ordenarlo ,detectó 10 entradas como Virus y 1 error que tiene que ver algo con el Rtvcan.sys ,que elimine antes. Chau gracias, que estes biennnn.... espero tus indicaciones.


Wed Jul 12 19:01:53 2006 => Examinando HKLM\SYSTEM\CurrentControlSet\Services\VxD
=> Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uni nstall\emule !!!
=> ¡El objeto “emule P2P-worm” encontró en sistema de ficheros! Acción tomada: Ninguna Accion fue realizada.

=> Offending Key found: HKCU\Software\emule !!!
=> ¡El objeto “emule P2P-worm” encontró en sistema de ficheros! Acción tomada: Ninguna Accion fue realizada .

=> Offending Folder found: C:\WINDOWS\system32\1024
=> ¡El objeto “smitfraud Browser Hijacker” encontró en sistema de ficheros! Acción tomada: Ninguna Accion fue realizada .

=> Offending file found: C:\WINDOWS\system32\search.exe
=> System found infected with whenu.desktop toolbar Spyware/Adware (search.exe)! Action taken: Ninguna Accion fue realizada.

=> Offending Folder found: C:\Archivos de programa\emule
=> ¡El objeto “emule P2P-worm” encontró en sistema de ficheros! Acción tomada: Ninguna Accion fue realizada .

=> Offending Folder found: C:\Documents and Settings\All Users\Menú Inicio\Programas\emule
=> ¡El objeto “emule P2P-worm” encontró en sistema de ficheros! Acción tomada: Ninguna Accion fue realizada .

=> Offending file found: C:\Documents and Settings\All Users\Menú Inicio\Programas\norton systemworks\norton utilities\norton disk doctor.lnk
=> System found infected with powerreg scheduler Spyware/Adware (norton disk doctor.lnk)! Action taken: Ninguna Accion fue realizada.

=> Offending Folder found: C:\Documents and Settings\All Users\Menú Inicio\programas\emule
=> ¡El objeto “emule P2P-worm” encontró en sistema de ficheros! Acción tomada: Ninguna Accion fue realizada .

=> Offending file found: C:\Documents and Settings\All Users\Menú Inicio\programas\norton systemworks\norton utilities\norton disk doctor.lnk
=> System found infected with powerreg scheduler Spyware/Adware (norton disk doctor.lnk)! Action taken: Ninguna Accion fue realizada.

Wed Jul 12 19:02:05 2006 => ***** Examinando Carpetas en System32 *****
=> Archivo C:\WINDOWS\system32\Search.exe marcado con etiqueta como “not-a-virus:AdWare.Win32.Alibabar.d”. Acción tomada : Ninguna Accion fue realizada.


Wed Jul 12 19:01:48 2006 => ***** Examinando Archivos de Servicio *****
=> ERROR!!! Invalid Entry \??\C:\WINDOWS\system32\Rtvcan.sys in SYSTEM\CurrentControlSet\Services\Rtvcan...

Wed Jul 12 19:17:27 2006 => ***** Examen Completo. *****
=> Archivos Examinados:: 15601
=> Virus Encontrados:: 10
=> Archivos Desinfectados:: 0
=> Archivos Renombrados:: 0
=> Archivos Eliminados:: 0
=> Errores:: 1
=> Tiempo Transcurrido:: 00:01:16
=> Fecha de Base de Datos de Virus: 7/13/2006
=> Conteo de Base de Datos de Virus: 206954

Wed Jul 12 19:17:27 2006 => Examen Completo.

Bien, el regedit.com si hay que eliminarlo, para ello, usas el killbox nuevamente y usas esta ruta:

C:\WINDOWS\regedit.com


Sobre el reporte del mwav, borra también este archivo usando el killbox:

C:\WINDOWS\system32\search.exe


Sobre el error que te marca del Rtvcan.exe, ve a Inicio > Ejecutar y escribes regedit y le das click en Aceptar

Ve a la siguiente clave: y borra la clave del Rtvcan


Ahora, lo del rundll*.dll, lo único que te puedo proponer es lo siguiente (pero aclaro que es algo riesgoso, de todas maneras, si algo malo pasa, te diré como repararlo )

Entra en C:\Windows\System32, de allí dale click derecho al archivo rundll32.dll y luego en copiar, lo pegas en el escritorio

Luego de haber hecho lo anterior, usa el killbox y elimina este archivo:

C:\Windows\System32\rundll*.dll


Si el killbox te dice que no lo encuentra es un falso positivo del extroyan


Me cuentas




Salu2

hola,bueno segui todos los pasos ,borre los archivos sin mayor problema,y me pude dar cuenta que el regedit.com aparecia despues de instalar el programa mwav ,porq yo ya habia eliminado regedit.com y troyanexplore no lo detectaba y pase denuevo el mwav y aparecio regedit denuevo. lo volvi a eliminar y no volvi a pasar mwav y ya no salio mas regedit.Sobre el ERROR del rtvcan.exe ,no borre lo que me pediste porq la clave del rtvcan no estaba aqui :
HKEY_LOCAL_MACHINE\Software\ControlCurrentSet\Serv ices

Lo que encontre yo estaba aca, pero no me atrevi a borrar ya que no se si es eso o no:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Rtvcan
(¿lo elimino o no?)

Sobre rundll*.dll hice lo q me dijiste y Killbox no lo encontro.

Por lo demas todo a andado bien ,el pc a vuelto a la normalidad ,se desaparecieron los menu chinos ,los fondos de escritorio,el error could not device,etc,y pase denuevo panda-online y no detecto nada ,lo unico es lo del troyanexplore qe me detecta como virus el rundll*.dll.... pero tu diras ,si aqui el MASTER eres tu.
xau xau espero tus respuestas, graciassss

A , se me olvidava, ¿sera peligroso borrar con Disk cleaner los system temporary files? lo q pasa es q yo borro solamente los temporales de internet y cookies ya q es primera vez q lo uso y no tengo mayor conocimiento de el, pero siempre quedan archivos 19,5MB(124items) y al parecer es pura basura ¿o no?

Si, borra dicha clave (solo la que dice Rtvcan)



Bien, ya entonces hemos descartado con otras herramientas así que podemos asegurar que ha sido un fallo, grave, del troyanexplorer


No, no es peligroso, de hecho recomendamos hacerlo



Bueno, ya me dirás si damos el tema por solucionado o no




Salu2

hola , eeeee bueno tema solucionado nomas po...El pc quedo como nuevo,y pensar que lo iba a formatear..........

Nada mas que decir que muy agradecido de ti y de forospyware, con este ya son 2 problemas que me solucionan y con muy buena dispocision y arta paciencia.

GRACIAS GRACIAS Y MILES DE GRACIASSSSSSSSSSSSSS

www.forospyware.com 100% RECOMENDABLE, LO MEJOR DE LA WEB, Y Acron_0248 UN MASTER

Graciassssssssssssssssssssssssssssssssssss
xauuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuu