Hola, antes de empezar quiero agradeceros que lleveis a cabo una labor de tantisima ayuda para los que no tenemos mucha idea de infecciones

empiezo con mi caso, a ver si podeis ayudarme porque me estoy desesperando.

hace unos dias empezaron a abrirse solas ventanas de propaganda continuamente y la pagina de inicio se me cambiaba todo el rato a Mbuscas, el ordenador iva cada vez más lento.

encontre este foro y conseguí arreglar lo de la pagina de inicio y lo de las ventanas se me ha reducido, ahora aparecen pero muy pocas ocasiones.

he ido probando con todos los anti spyware que hay para descargar aqui y todos me encuentran algun troyano y spyware y me lo suelen limpiar, pero cuanto más lo limpio más aparecen y cada vez distintos. Cuando alguno se repetia varias veces buscaba algun programa especifico para eliminarlo, pero desaparece y otro toma su lugar o vuelve al rato.

He hecho lo de apagar el restaurar el sistema, reiniciar en a prueba de fallos y escanear y luego clear disk. lo he probado con todos los anti spyware que hay aqui, pero cuando paso el panda online, como poneis, siguen apareciendo los mismos otra vez o nuevos.


¿que hago por dios? es el PC del curro y me puede caer una gorda si me pilla el jefe.
os dejo el log del hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 11:27:36, on 24/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe
C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Archivos de programa\Network Associates\VirusScan\shstat.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SSU.EXE
C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing)
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - Startup: Iniciar Microsoft Office Outlook.lnk = C:\Archivos de programa\Microsoft Office\OFFICE11\OUTLOOK.EXE
O4 - Startup: virsucan.lnk = C:\Archivos de programa\Network Associates\VirusScan\shstat.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = DELVALLE.local
O17 - HKLM\Software\..\Telephony: DomainName = DELVALLE.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{5FCB3DE0-0910-4DDD-AA24-2534BED32AF5}: NameServer = 192.168.1.1,195.235.113.3
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = DELVALLE.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{5FCB3DE0-0910-4DDD-AA24-2534BED32AF5}: NameServer = 192.168.1.1,195.235.113.3
O20 - AppInit_DLLs: CLKERN.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: winufg32 - C:\WINDOWS\SYSTEM32\winufg32.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

Hola


Parece que no estás usando firewall en tu sistema, así que te recomiendo esto:

Sygate Personal Firewall

Si estás usando el firewall de Windows, te recomiendo que lo desactives e instales el que te menciono arriba.


Recuerda pasar por el windowsupdate.com regularmente y mantener tu sistema actualizado.


Bueno, veamos ese reporte.


Recuerda seguir estos pasos para la reparación.

1. Ver los archivos ocultos de tu sistema
2. Desactivar la restauración del sistema
3. Iniciar el sistema en el modo «a prueba de fallos» o «modo seguro»
4. Haz los pasos con todos los programas cerrados salvo el que estés usando para la reparación o limpieza.

Deberás marcar estas líneas en el Hijackthis para reparar:

• O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing)

Después de haber hecho esas reparaciones, ejecuta estas otras aplicaciones por si se le ha pasado algo al HijackThis:

• Ad-aware SE
• Disck Cleaner
• Spybot Search and Destroy
• RegSeeker. De este programa deberás usar principalmente la opción de «limpiar el registro»

El reporte no muestra ninguna infección, así que te recomiendo que ejecutes dos de los análisis antivirus en línea que aquí te presento, te recomiendo el de trendmicro y el de kaspersky. Si encuentran algo que no puedan eliminar, nos pegas el reporte.


Tras estos pasos y reparaciones, cuéntanos como evoluciona el tema.



Felicidad

gracias por la rapidez y dedicarme tu tiempo.

he hecho lo que dices y pensaba que ya estaba limpio, cuando estaba pasando el karspesky, de repente, ha salido un aviso del virsucan que habia detectado el Vundo y varios troyanos más, se ha cerrado todo lo que tenia abierto (incluido el karspesky) y han empezado a salir mogollon de ventanas de aviso del spybot preguntando si permitia o no modificaciones del registro, como no estaba instalando nada las he ido rechazando y me ha vuelto a salir una ventana imitacion del centro de seguridad de windows vendiendo un antyspyware, que por supuesto no compraria ni loco
las ventanas del spybot no paran de salir, le he puesto que recuerde mi eleccion y se abre y se autorrechazan constantemente.

he vuelto a pasar el HijackThis, te dejo el nuevo log.

Logfile of HijackThis v1.99.1
Scan saved at 18:03:46, on 24/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Archivos de programa\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Archivos de programa\Network Associates\VirusScan\shstat.exe
C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\WISPTIS.EXE
C:\Archivos de programa\Archivos comunes\{6758C08F-0BB0-3082-0616-040412200022}\Update.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\ismon.exe
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\issearch.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {873eb32d-ae1a-4183-89bd-45a77f761be4} - C:\WINDOWS\system32\ixt0.dll
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Iniciar Microsoft Office Outlook.lnk = C:\Archivos de programa\Microsoft Office\OFFICE11\OUTLOOK.EXE
O4 - Startup: virsucan.lnk = C:\Archivos de programa\Network Associates\VirusScan\shstat.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = DELVALLE.local
O17 - HKLM\Software\..\Telephony: DomainName = DELVALLE.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{5FCB3DE0-0910-4DDD-AA24-2534BED32AF5}: NameServer = 192.168.1.1,195.235.113.3
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = DELVALLE.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{5FCB3DE0-0910-4DDD-AA24-2534BED32AF5}: NameServer = 192.168.1.1,195.235.113.3
O20 - AppInit_DLLs: CLKERN.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: winufg32 - C:\WINDOWS\SYSTEM32\winufg32.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe



muchas gracias por tu atencion

te pongo al dia de como va la cosa, he vuelto a pasar los programas que me dijiste en el primer mensaje, me ha encontrado 3 infecciones y me las ha quitado.
Ahora la pagina de inicio se me ha quedado en el security sistem ese que te dice que tienes el ordenador infectado y que te descargues su programa. Tambien me sale continuamente un aviso a la derecha de la barra de inicio diciendo system alert spyware detected, que me imagino que tambien es otro camelo. Alguna vez se me han abierto paginas de propaganda.

el spybot no encuentran infecciones. Ahora voy a pasar el karspesky y el panda porque el otro que me has dicho se me cuelga o tarda muchisimo en empezar a escanear.

¿necesitas algun informe de alguno?

la cosa va progresando, he vuelto a pasar los programas que me has dicho en el modo a prueba de fallos y la pagina de inicio la he recuperado con delpsguard. los sintomas han desaparecido, pero el karspesky y el ewido me encuentran infecciones, además hay una carpeta en favoritos, que se llama links y no se deja borrar, antes no estaba.

te dejo los informes de cada uno:

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: Trojan.Starter.65
Path: [1292] C:\Archivos de programa\Archivos comunes\{6758C08F-0BB0-3082-0616-040412200022}\Update.exe
Risk: High

Name: Trojan.Starter.65
Path: C:\Archivos de programa\Archivos comunes\{6758C08F-0BB0-3082-0616-040412200022}\Update.exe
Risk: High

Name: Adware.Virtumonde
Path: C:\VundoFix Backups\wvutrom.dll
Risk: Medium

Name: Adware.Virtumonde
Path: C:\WINDOWS\system32\efccayx.dll
Risk: Medium

Name: Adware.Virtumonde
Path: C:\WINDOWS\system32\urqrrpm.dll
Risk: Medium


--------------------------------------------------------------------------
--------------------------------------------------------------------------
Tuesday, July 25, 2006 3:52:48 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 25/07/2006
Kaspersky Anti-Virus database records: 197221


Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true

Scan Target Folders
C:\

Scan Statistics
Total number of scanned objects 52430
Number of viruses found 2
Number of infected objects 2 / 0
Number of suspicious objects 0
Duration of the scan process 01:33:05

Infected Object Name Virus Name Last Action
C:\Archivos de programa\Microsoft Office\OFFICE11\STARTUP\PDFMaker.dot Object is locked skipped

C:\Documents and Settings\All Users\Datos de programa\Network Associates\BOPDATA\_Date-20060725_Time-131710156_EnterceptExceptions.dat Object is locked skipped

C:\Documents and Settings\All Users\Datos de programa\Network Associates\BOPDATA\_Date-20060725_Time-131710156_EnterceptRules.dat Object is locked skipped

C:\Documents and Settings\All Users\Datos de programa\Network Associates\Common Framework\Db\Agent_PCINGENIERO.log Object is locked skipped

C:\Documents and Settings\All Users\Datos de programa\Network Associates\Common Framework\Db\PrdMgr_PCINGENIERO.log Object is locked skipped

C:\Documents and Settings\All Users\Datos de programa\Network Associates\VirusScan\AccessProtectionLog.txt Object is locked skipped

C:\Documents and Settings\All Users\Datos de programa\Network Associates\VirusScan\BufferOverflowProtectionLog.t xt Object is locked skipped

C:\Documents and Settings\All Users\Datos de programa\Network Associates\VirusScan\EmailOnDeliveryLog.txt Object is locked skipped

C:\Documents and Settings\All Users\Datos de programa\Network Associates\VirusScan\OnAccessScanLog.txt Object is locked skipped

C:\Documents and Settings\diseno\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\diseno\Configuración local\Datos de programa\Microsoft\Outlook\archive.pst Object is locked skipped

C:\Documents and Settings\diseno\Configuración local\Datos de programa\Microsoft\Outlook\outlook.ost Object is locked skipped

C:\Documents and Settings\diseno\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\diseno\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\diseno\Configuración local\Historial\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\diseno\Configuración local\Historial\History.IE5\MSHist0120060725200607 26\index.dat Object is locked skipped

C:\Documents and Settings\diseno\Configuración local\Temp\ExchangePerflog_8484fa3110eb7767cfcccd4 3.dat Object is locked skipped

C:\Documents and Settings\diseno\Configuración local\Temp\Perflib_Perfdata_750.dat Object is locked skipped

C:\Documents and Settings\diseno\Configuración local\Temp\~DF5215.tmp Object is locked skipped

C:\Documents and Settings\diseno\Configuración local\Temp\~DF630F.tmp Object is locked skipped

C:\Documents and Settings\diseno\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\diseno\Datos de programa\Microsoft\Outlook\Outlook.srs Object is locked skipped

C:\Documents and Settings\diseno\Datos de programa\Microsoft\Plantillas\Normal.dot Object is locked skipped

C:\Documents and Settings\diseno\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\fil e\omfge.class-47275ab6-4ad919f9.class Infected: Trojan-Downloader.Java.OpenStream.y skipped

C:\Documents and Settings\diseno\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\diseno\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\diseno\UserData\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

C:\WINDOWS\CSC\00000001 Object is locked skipped

C:\WINDOWS\Debug\Netlogon.log Object is locked skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked skipped

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\default Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\software Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\system Object is locked skipped

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\h323log.txt Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped

C:\WINDOWS\system32\winufg32.dll Infected: Packed.Win32.Klone.g skipped

C:\WINDOWS\WindowsUpdate.log Object is locked skipped

Scan process completed.



Muchas gracias por vuestra atencion.

Hola

Al parecer, en el momento de los análisis online, tenía sunas cuantas cosas abiertas, aun así, no se ve mal la cosa.

Ejecuta el MWAV y nos pegas el reporte que te genere, acompáñalo de un nuevo reporte del hijackthis.

Felicidad

aqui los tienes, gracias. me sigue detectando algo y se me ha quedado una carpeta que se llama links en favoritos y no la puedo borrar.

el del mwav no lo puedo poner porque es enorme, te dejo un resumen.

Logfile of HijackThis v1.99.1
Scan saved at 13:44:30, on 28/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Archivos de programa\Network Associates\VirusScan\shstat.exe
C:\ARCHIV~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\WISPTIS.EXE
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
O2 - BHO: (no name) - {873eb32d-ae1a-4183-89bd-45a77f761be4} - C:\WINDOWS\system32\ixt0.dll (file missing)
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Iniciar Microsoft Office Outlook.lnk = C:\Archivos de programa\Microsoft Office\OFFICE11\OUTLOOK.EXE
O4 - Startup: virsucan.lnk = C:\Archivos de programa\Network Associates\VirusScan\shstat.exe
O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = DELVALLE.local
O17 - HKLM\Software\..\Telephony: DomainName = DELVALLE.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{5FCB3DE0-0910-4DDD-AA24-2534BED32AF5}: NameServer = 192.168.1.1,195.235.113.3
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = DELVALLE.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{5FCB3DE0-0910-4DDD-AA24-2534BED32AF5}: NameServer = 192.168.1.1,195.235.113.3
O20 - AppInit_DLLs: CLKERN.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe


-----------------------------------------------------------------------
-----------------------------------------------------------------------
-----------------------------------------------------------------------


Fri Jul 28 13:27:11 2006 => ************************************************** ********
Fri Jul 28 13:27:11 2006 => MicroWorld Anti Virus & Spyware Toolkit Utility.
Fri Jul 28 13:27:11 2006 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Fri Jul 28 13:27:11 2006 => ************************************************** ********
Fri Jul 28 13:27:11 2006 => Source: C:\WINDOWS\user\mwav.exe
Fri Jul 28 13:27:11 2006 => Version 8.5.1 (C:\DOCUME~1\diseno\CONFIG~1\Temp\mexe.com)
Fri Jul 28 13:27:11 2006 => Log File: C:\DOCUME~1\diseno\CONFIG~1\Temp\MWAV.LOG
Fri Jul 28 13:27:11 2006 => MWAV Registered: FALSE.
Fri Jul 28 13:27:11 2006 => User Account: diseno
Fri Jul 28 13:27:11 2006 => OS Type: Windows Workstation
Fri Jul 28 13:27:11 2006 => OS: Windows XP
Fri Jul 28 13:27:11 2006 => Ver: Service Pack 2 (Build 2600)
Fri Jul 28 13:27:11 2006 => Windows Root Folder: C:\WINDOWS
Fri Jul 28 13:27:11 2006 => Windows Sys32 Folder: C:\WINDOWS\system32
Fri Jul 28 13:27:11 2006 => Local Fixed Drives: c:\
Fri Jul 28 13:27:11 2006 => MWAV Mode: Only Scan files.
Fri Jul 28 13:27:11 2006 => Latest Date of files inside MWAV: 28 Jul 2006 07:20:44.
Fri Jul 28 13:27:14 2006 => AV Library Loaded...
Fri Jul 28 13:27:14 2006 => MWAV doing self scanning...
Fri Jul 28 13:27:14 2006 => Scanning File C:\DOCUME~1\diseno\CONFIG~1\Temp\kavss.exe
Fri Jul 28 13:27:14 2006 => Scanning File C:\DOCUME~1\diseno\CONFIG~1\Temp\Getvlist.exe
Fri Jul 28 13:27:14 2006 => Scanning File C:\DOCUME~1\diseno\CONFIG~1\Temp\kavss.dll
Fri Jul 28 13:27:14 2006 => Scanning File C:\DOCUME~1\diseno\CONFIG~1\Temp\kavssdi.dll
Fri Jul 28 13:27:14 2006 => Scanning File C:\DOCUME~1\diseno\CONFIG~1\Temp\kavssi.dll
Fri Jul 28 13:27:14 2006 => Scanning File C:\DOCUME~1\diseno\CONFIG~1\Temp\kavvlg.dll
Fri Jul 28 13:27:14 2006 => Scanning File C:\DOCUME~1\diseno\CONFIG~1\Temp\msvlclnt.dll
Fri Jul 28 13:27:14 2006 => Scanning File C:\DOCUME~1\diseno\CONFIG~1\Temp\ipc.dll
Fri Jul 28 13:27:14 2006 => Scanning File C:\DOCUME~1\diseno\CONFIG~1\Temp\main.avi
Fri Jul 28 13:27:14 2006 => Scanning File C:\DOCUME~1\diseno\CONFIG~1\Temp\virus.avi
Fri Jul 28 13:27:14 2006 => MWAV files are clean.
Fri Jul 28 13:27:29 2006 => Fecha de Base de Datos de Virus: 7/28/2006
Fri Jul 28 13:27:29 2006 => Conteo de Base de Datos de Virus: 210434
Fri Jul 28 13:27:41 2006 => Downloading AntiVirus Databases...
Fri Jul 28 13:27:50 2006 => Downloads Successful...
Fri Jul 28 13:27:53 2006 => Reload of AntiVirus Signatures successfully done.
Fri Jul 28 13:27:53 2006 => Fecha de Base de Datos de Virus: 7/28/2006
Fri Jul 28 13:27:53 2006 => Conteo de Base de Datos de Virus: 210495

Fri Jul 28 13:28:27 2006 => ************************************************** ********
Fri Jul 28 13:28:27 2006 => Herramientas eScan Antivirus.
Fri Jul 28 13:28:27 2006 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Fri Jul 28 13:28:27 2006 =>
Fri Jul 28 13:28:27 2006 => Soporte: support@mwti.net
Fri Jul 28 13:28:27 2006 => Web: http://www.mwti.net
Fri Jul 28 13:28:27 2006 => ************************************************** ********
Fri Jul 28 13:28:27 2006 => Version 8.5.1
Fri Jul 28 13:28:27 2006 => Archivo de Registro: C:\DOCUME~1\diseno\CONFIG~1\Temp\MWAV.LOG
Fri Jul 28 13:28:27 2006 => User Account: diseno
Fri Jul 28 13:28:27 2006 => Windows Root Folder: C:\WINDOWS
Fri Jul 28 13:28:27 2006 => Windows Sys32 Folder: C:\WINDOWS\system32
Fri Jul 28 13:28:27 2006 => OS: Windows XP
Fri Jul 28 13:28:27 2006 => Ver: Service Pack 2 (Build 2600)
Fri Jul 28 13:28:27 2006 => Ultima fecha de Archivos dentro de MWAV: 28 Jul 2006 12:31:59.

Fri Jul 28 13:28:27 2006 => Opciones seleccionadas por el usuario:
Fri Jul 28 13:28:27 2006 => Chequeo de Memoria: Habilitado
Fri Jul 28 13:28:27 2006 => Chequeo de Registro: Habilitado
Fri Jul 28 13:28:27 2006 => Chequeo de Carpeta de Inicio: Habilitado
Fri Jul 28 13:28:27 2006 => Chequeo de Carpeta de Sistema: Habilitado
Fri Jul 28 13:28:27 2006 => Chequeo de área de Sistema: Deshabilitado
Fri Jul 28 13:28:27 2006 => Chequeo de Servicios: Habilitado
Fri Jul 28 13:28:27 2006 => Opción de Chequeo de Unidad deshabilitada.
Fri Jul 28 13:28:27 2006 => Chequeo de Carpeta: Deshabilitado

Fri Jul 28 13:28:29 2006 => ***** Examinando Archivos en Memoria *****
Fri Jul 28 13:28:29 2006 => Examinando Archivo C:\WINDOWS\System32\smss.exe
Fri Jul 28 13:28:29 2006 => Examinando Archivo C:\WINDOWS\system32\ntdll.dll
Fri Jul 28 13:28:29 2006 => Examinando Archivo C:\WINDOWS\SYSTEM32\CSRSS.EXE
.
.
.
Fri Jul 28 13:29:18 2006 => Examinando Archivo C:\DOCUME~1\diseno\CONFIG~1\Temp\kavss.exe
Fri Jul 28 13:29:18 2006 => Examinando Archivo C:\DOCUME~1\diseno\CONFIG~1\Temp\kavss.dll

Fri Jul 28 13:29:18 2006 => ***** Examinando Archivos de Registro *****

Fri Jul 28 13:29:18 2006 => Examinando HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\She llServiceObjectDelayLoad
Fri Jul 28 13:29:18 2006 => *** Archivo C:\WINDOWS\system32\SHELL32.dll contiene restricciones de tamaño ***. Filesize 8295 kb > 3072 kb...
Fri Jul 28 13:29:18 2006 => Examinando Archivo C:\WINDOWS\system32\SHELL32.dll [**]
Fri Jul 28 13:29:18 2006 => *** Archivo C:\WINDOWS\system32\SHELL32.dll contiene restricciones de tamaño ***. Filesize 8295 kb > 3072 kb...
Fri Jul 28 13:29:18 2006 => Examinando Archivo C:\WINDOWS\system32\SHELL32.dll [**]
Fri Jul 28 13:29:18 2006 => Examinando Archivo C:\WINDOWS\system32\webcheck.dll
Fri Jul 28 13:29:18 2006 => Examinando Archivo C:\WINDOWS\system32\stobject.dll

Fri Jul 28 13:29:18 2006 => Examinando HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\She llServiceObjectDelayLoad

Fri Jul 28 13:29:18 2006 => Examinando HKLM\SOFTWARE\Microsoft\Internet Explorer\Plugins\Extension

Fri Jul 28 13:29:18 2006 => Examinando HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar

Fri Jul 28 13:29:19 2006 => Examinando HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\exp lorer\Browser Helper Objects
Fri Jul 28 13:29:19 2006 => {873eb32d-ae1a-4183-89bd-45a77f761be4} = C:\WINDOWS\system32\ixt0.dll
Fri Jul 28 13:29:19 2006 => ERROR!!! Invalid Entry = C:\WINDOWS\system32\ixt0.dll (in key Software\Microsoft\Windows\CurrentVersion\explorer \Browser Helper Objects\{873eb32d-ae1a-4183-89bd-45a77f761be4}). No Action Taken.

Fri Jul 28 13:29:19 2006 => Examinando HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\exp lorer\SharedTaskScheduler
Fri Jul 28 13:29:19 2006 => Examinando Archivo C:\WINDOWS\system32\Browseui.dll
Fri Jul 28 13:29:19 2006 => Examinando Archivo C:\WINDOWS\system32\Browseui.dll

Fri Jul 28 13:29:19 2006 => Examinando HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved
Fri Jul 28 13:29:19 2006 => Examinando Archivo C:\WINDOWS\system32\mmsys.cpl
Fri Jul 28 13:29:20 2006 => Examinando Archivo C:\WINDOWS\system32\icmui.dll
Fri Jul 28 13:29:20 2006 => Examinando Archivo C:\WINDOWS\system32\rshx32.dll
Fri Jul 28 13:29:20 2006 => Examinando Archivo C:\WINDOWS\system32\docprop.dll
Fr
.
.
.
Fri Jul 28 13:40:22 2006 => Examinando Archivo C:\DOCUME~1\diseno\CONFIG~1\Temp\~DFAD4A.tmp
Fri Jul 28 13:40:22 2006 => Examinando Archivo C:\DOCUME~1\diseno\CONFIG~1\Temp\~DFCF2D.tmp
Fri Jul 28 13:40:22 2006 => Examinando Archivo C:\DOCUME~1\diseno\CONFIG~1\Temp\~DFCF7B.tmp
Fri Jul 28 13:40:23 2006 => Examinando Archivo C:\DOCUME~1\diseno\CONFIG~1\Temp\~DFFF39.tmp
Fri Jul 28 13:40:23 2006 => Examinando Archivo C:\DOCUME~1\diseno\CONFIG~1\Temp\~WRF3778.tmp

Fri Jul 28 13:40:23 2006 => ***** Chequeando por virus ITW específicos *****
Fri Jul 28 13:40:23 2006 => Buscando por el Virus Welchia ...
Fri Jul 28 13:40:23 2006 => Buscando por el Virus LovGate ...
Fri Jul 28 13:40:23 2006 => Buscando por el Virus CodeRed ...
Fri Jul 28 13:40:23 2006 => Buscando por el Virus OpaServ ...
Fri Jul 28 13:40:23 2006 => Buscando por el Virus Sobig.e ...
Fri Jul 28 13:40:23 2006 => Buscando por el Virus Winupie ...
Fri Jul 28 13:40:23 2006 => Buscando por el Virus Swen ...
Fri Jul 28 13:40:23 2006 => Buscando por el Virus JS.Fortnight ...
Fri Jul 28 13:40:23 2006 => Buscando por el Virus Novarg ...
Fri Jul 28 13:40:23 2006 => Buscando por el Virus Pagabot ...
Fri Jul 28 13:40:23 2006 => Buscando por el Virus Parite.b ...
Fri Jul 28 13:40:23 2006 => Buscando por el Virus Parite.a ...
Fri Jul 28 13:40:23 2006 => Buscando por el Virus Adware.SeekSeek ...

Fri Jul 28 13:40:23 2006 => ***** Examen Completo. *****

Fri Jul 28 13:40:23 2006 => Archivos Examinados:: 27751
Fri Jul 28 13:40:23 2006 => Virus Encontrados:: 3
Fri Jul 28 13:40:23 2006 => Archivos Desinfectados:: 0
Fri Jul 28 13:40:23 2006 => Archivos Renombrados:: 0
Fri Jul 28 13:40:23 2006 => Archivos Eliminados:: 0
Fri Jul 28 13:40:23 2006 => Errores:: 6
Fri Jul 28 13:40:23 2006 => Tiempo Transcurrido:: 00:11:56
Fri Jul 28 13:40:23 2006 => Fecha de Base de Datos de Virus: 7/28/2006
Fri Jul 28 13:40:23 2006 => Conteo de Base de Datos de Virus: 210495

Fri Jul 28 13:40:23 2006 => Examen Completo.

no sabia muy bien que poner, ¿como puedo ponerlo entero?