Hola a todos, habiendo leído diferentes topics de aquí he logrado sacar algunas infecciones que tenía mi maquina, pero hace un par de días el Norton me avisa sobre un "virus" trojan.Horse que esta en c:\windows\system32 y que su nombre va cambiando pero con el siguiente estructura
c:\windows\system32\{31513435415313568}.exe (los números van cambiando) y el norton no puede acceder al archivo y no lo puede borrar. El tema sigue porque al querer pasar cualquier antivirus o antispyware se cualgan al llegar a cierto archivo en esta carpeta, tambien al querer entrar a esta carpeta se cuelga el explorer al igual que si quiero entrar en modo seguro o desde el DOS tambien al pedir un dir recorre todo y al final se cuelga y no se porque....

Yo anteriormente elimine Kill and clean y borre unos trojanos y que me marcó el norton y el adware, ademas borré un archivo llamado sklkn.exe que se me había instalado solo que no encontré que era y le borré las lineas en el registro que hacian referencia a el... estos son datos que agrego que espero qu eayuden y no confundan....tambien intente pasar el panda desde la web y tb se cuelga...

Por favor, aqui les dejo mi log de hijackthis porque no se que mas intentar....y tambien les agrego la info del norton sobre estos .exe que no puede acceder ni borrar.... espero me ayuden con esto....

primero va esto del Norton que tengo muchas entradas aqui pongo algunas

Fuente: C:\WINDOWS\system32\{5516A2DE-7878-4747-97DD-8038DCE8DC48}.exe Haga clic aquí para obtener más información sobre esta amenaza : Trojan Horse
Fuente: C:\WINDOWS\system32\{BE05BBB4-F52B-4F07-B10D-1E48A2E42D46}.exe
Fuente: C:\WINDOWS\system32\{8903156E-73F5-46A9-B0DC-5B574E5B6BFE}.exe
Fuente: C:\WINDOWS\system32\{5A5414B6-C34F-4CC6-A77D-C7D7EF04A9B0}.exe

entre otros... y aqui va el log (tengo dos maquinas en red, por las dudas que sea importante, windows XP SP2)

Espero ayuda, gracias de ante mano


Logfile of HijackThis v1.99.1
Scan saved at 10:59:17, on 08/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\$sys$filesystem\$sys$DRMServer .exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\CDProxyServ.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe
C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA IA.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Santiago Langellotti\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [DrvListnr] C:\Archivos de programa\Analog Devices\SoundMAX\DrvListnr.exe
O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R220 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA IA.EXE /P30 "EPSON Stylus Photo R220 Series" /O6 "USB001" /M "Stylus Photo R220"
O4 - HKLM\..\RunServices: [Windows Driver Manager] windrvmgr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{959DC4E5-FF54-4AED-A483-73AD665EC074}: NameServer = 85.255.116.151,85.255.112.20
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E6EB7F6-4738-4B40-9A3A-C05EFB91C704}: NameServer = 85.255.116.151,85.255.112.20
O17 - HKLM\System\CCS\Services\Tcpip\..\{C0D4D502-9B09-404A-B4F9-73984F001FF6}: NameServer = 85.255.116.151,85.255.112.20
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.151 85.255.112.20
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.151 85.255.112.20
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Plug and Play Device Manager ($sys$DRMServer) - First 4 Internet Ltd - C:\WINDOWS\System32\$sys$filesystem\$sys$DRMServer .exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: XCP CD Proxy (CD_Proxy) - Unknown owner - C:\WINDOWS\CDProxyServ.exe
O23 - Service: Intel(R) Active Monitor (imonNT) - Intel Corp. - C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

Hola Matucho bienvenido al foro

Realiza estos pasos:

1. Apaga Restaurar Sistema

2. Ver Archivos Ocultos

3. Reinicia en Modo Seguro (Si no puedes hacer este omitelo y continua)

4. Con todos los programas cerrados ejecuta el HijackThis y dale “FIX Cheked” a las siguientes entradas:

O4 - HKLM\..\RunServices: [Windows Driver Manager] windrvmgr.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{959DC4E5-FF54-4AED-A483-73AD665EC074}: NameServer = 85.255.116.151,85.255.112.20
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E6EB7F6-4738-4B40-9A3A-C05EFB91C704}: NameServer = 85.255.116.151,85.255.112.20
O17 - HKLM\System\CCS\Services\Tcpip\..\{C0D4D502-9B09-404A-B4F9-73984F001FF6}: NameServer = 85.255.116.151,85.255.112.20
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.151 85.255.112.20
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.151 85.255.112.20

5. Busca y elimina estos archivos con el KillBox

C:\WINDOWS\system32\{BE05BBB4-F52B-4F07-B10D-1E48A2E42D46}.exe, borra todos lo que encuentres con “{BE05BBB4-F52B-4F07-B10D-1E48A2E42D46}”.exe

Si no encuentras alguno usa el buscador (Inicio/Buscar/Todos los archivos y/o carpetas) busca y borra este archivo:

windrvmgr.exe

6. Le pasas el Ad-Ware SE actualizado.

7. Le pasas el RegSeeker, debes usar la opción Limpiar Registro, pásalo las veces que sean necesarias hasta que no aparezca nada.

8. El Disk Cleaner, para limpiar cookies y temporales.

Reinicias y te recomiendo que instales el SpywareBlaster 3.5.1, y su Manual .

Debes visitar Windows Update para que descargues las últimas actualizaciones criticas de seguridad, y Aquí para el internet explorer.

Al finalizar deshaces los dos primeros pasos, pegas un nuevo log para ver los resultados y nos cuentas como te fue.

Saludos.