si trate de borrarlo en modo a prueba de fallos, el killbox se me tilda o me dice que va a borrarlo despues de reboot, pero despues no lo hace. el otro programa al poner desbloquear todo, se queda el fondo del escritorio sin poder hacer nada... ni el ctrl alt sup y la tengo q reiniciar.
los analisis esta vez no los pase, pero antes le habia pasado el ewido (me detectaba algunas cosas) y el kaspersky no me detectaba nada.

Windows XP Service Pack 2: cuando entro a ese link, me manda a http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=en&&thankspage=5, despues entro en Microsoft Download Center y me manada a http://www.microsoft.com/downloads/Search.aspx?displaylang=en y ahi no se donde ir :S

Hola

aquí está nuevamente un enlace para el sp2, no es el mismo que te dí la otra vez, aunque debe ser la misma página final.

aquí tienes el service pack 1a

aquí tienes una enorme lista de actualizaciones de seguridad, descárgalas e instala las que puedas.

Por favoc coméntanos el estado actual de tu sistema.

Felicidad

hola

pude bajarme el pack 1 y tengo para bajar el pack 2, pero cuando quise instalar el pack 1 me dio este error:



y en las actualizaciones menores me dicen q tengo q tener instalado por lo menos el pack 1 :S:S

y el unico problema q me sigue es q cada tanto me aparece 3 propagandas de q mi compu puede estar infectada, como antes...

Hola

Ejecuta al menos dos de los análisis antivirus en línea que aquí te presento, te recomiendo el de trendmicro y el de kaspersky. Si encuentran algo que no puedan eliminar, nos pegas el reporte.

Luego nos envía sun nuevo reporte del hijackthis.

Felicidad

hola, ya le pase el kaspersky y no me marco ningun virus ni nada y antes le habia pasado el trendmicro y me habia marcado 1 spy, un grayware y varias vulnerabilidades de windows q pude actualizar, exepto 2 de las q me marcaba.

este es el HijackThis q hice despues de los analisis:

Logfile of HijackThis v1.99.1
Scan saved at 01:41:48 a.m., on 19/08/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ciudad.com.ar/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\ARCHIV~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\RunOnce: [KB824141] rundll32.exe apphelp.dll,ShimFlushCache
O4 - HKLM\..\RunOnce: [KB840987] rundll32.exe apphelp.dll,ShimFlushCache
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Clean Traces - C:\Archivos de programa\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm
O8 - Extra context menu item: &Download with TrueDownloader! - C:\Archivos de programa\TrueDownloader\TrueDownloader.htm
O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://locator.cdn.imageservr.com
O15 - Trusted Zone: http://locator1.cdn.imageservr.com
O15 - Trusted Zone: http://scanner.sysprotect.com
O15 - Trusted Zone: http://*.systemdoctor.com
O15 - Trusted Zone: http://www.winantivirus.com
O15 - Trusted Zone: http://www.winantiviruspro.com
O15 - Trusted Zone: http://download.cdn.winsoftware.com
O15 - Trusted IP range: http://202.67.220.225
O15 - Trusted IP range: http://59.148.220.121
O15 - Trusted IP range: http://62.4.84.53
O15 - Trusted IP range: http://82.98.235.58
O15 - Trusted IP range: http://85.12.25.90
O15 - Trusted IP range: http://85.12.25.95
O15 - Trusted IP range: http://202.67.220.227
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by22fd.bay22.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://scan.safety.live.com/resource/download/scanner/wlscbase5059.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1155676424092
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe

P.D: me podes explicar como tengo q configurar el TeaTimer del SpybotSD, porq cada vez q inicio el sistema, me aparece un mensaje q se modifico el registro (creo q por erro, marque q no se q programa podia modificarlo, y ahora pienso q puede ser este el virus)

Hola

La forma más rápida de remediar cualquier posible error en la configuración del spybot, es que lo desinstaes, ejecutes el regseeker y luego lo vuelvas a instalar, así tendrás la configuración por defecto.

Tu sistema sigue estando desactualizado, no has instalado ni el service pack 1.

No has quitado el dap y has instalado el truedownloader, tener dos programas para lo mismo, no es necesario, aparte de que al no quitar el dap, no remedias los problemas que trae, evidentemente.

Al momento de ejecutar el hijackthis, estasba instalando una o dos actualizaciones del sistema, debes ejecutar los programas uno a la vez. Las actualizaciones mismas te dicen que cierres todo mientras las ejecutas.

Dinos como está el sistema ahora, si podemos cerrar el tema o si queda algo por hacer, si es así, por favor detállanos la situación actual.

Tu reporte se ve limpio.

Felicidad

hola!, el sistema sigue desactualizado porq no me deja instalar ni el pack 1, ya q me dice q mi windows no es original... y tampoco me deja instalar las ultimas actualizaciones porq me pide q tenga instalado el pack 1 :S:S

el DAP lo habia desistalado y habia instalado el truedownloader, pero como no me andaba bien, lo desinstale (no se porq todabia esta :S) y habia instalado el DAP de nuevo... ahora voy a ver si puedo instalar de nuevo el truedownloader y configurarlo... y si funciona desistalo el DAP... q problemas tiene el DAP??

y en este momento el unico problema q sigo teniendo (pero con menos frecuencia - 1 vez por cada vez q enciendo la compu-) es q cada tanto me aparece propagandas de q mi compu puede estar infectada...

q significa esto q aparecen e mi log del Hijackthis?
O15 - Trusted Zone: http://locator.cdn.imageservr.com
O15 - Trusted Zone: http://locator1.cdn.imageservr.com
O15 - Trusted Zone: http://scanner.sysprotect.com
O15 - Trusted Zone: http://*.systemdoctor.com
O15 - Trusted Zone: http://www.winantivirus.com
O15 - Trusted Zone: http://www.winantiviruspro.com
O15 - Trusted Zone: http://download.cdn.winsoftware.com
O15 - Trusted IP range: http://202.67.220.225
O15 - Trusted IP range: http://59.148.220.121
O15 - Trusted IP range: http://62.4.84.53
O15 - Trusted IP range: http://82.98.235.58
O15 - Trusted IP range: http://85.12.25.90
O15 - Trusted IP range: http://85.12.25.95
O15 - Trusted IP range: http://202.67.220.227

Hola

esas líneas O15 que mencionas, son páginas o direcciones que has agregado o algún programa ha agregado por tí a la lista de sitios de confianza del explorer. Si no has sido tú, puedes reparar esas líneas en el hijackthis.

Envíanos un nuevo reporte del hijackthis para ver como sigue el sistema, aunque el último estaba limpio, algo puede haber salido a la luz.

Si los problemas que comentas continuan, ejecuta el análisis online del ewido y nos envías el reporte si aparecealgo que no pueda eliminar.

Felicidad

hola, aca te traigo algunas novedades...

realice un analisis con el ewido y me dio estos resultados:

_______________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Myaffiliateprogram
Path: C:\Documents and Settings\x\Cookies\x@www.myaffiliateprogram[2].txt
Risk: Medium

Name: Adware.Virtumonde
Path: C:\WINDOWS\system32\mljjh.dll
Risk: Medium

Name: Not-A-Virus.Downloader.Win32.WinFixer.i
Path: C:\WINDOWS\system32\hldnwlwx.exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.i
Path: C:\WINDOWS\system32\urxxvayk.exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.i
Path: C:\WINDOWS\system32\mtlurkwm.exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.i
Path: C:\WINDOWS\system32\yhakjoda.exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.i
Path: C:\WINDOWS\system32\jfaandvp.exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.i
Path: C:\WINDOWS\system32\nfwttued.exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.i
Path: C:\WINDOWS\system32\qhxosyhs.exe
Risk: Low

----------------------------------

elimino todo menos esto q es el "archivo imborrable II" :P
Name: Adware.Virtumonde
Path: C:\WINDOWS\system32\mljjh.dll
Risk: Medium

entonces busque en el foro sobre este virus y encontre esto: hice lo q ahi menciona:
Eliminación de los valores del registro:
1. Click en Inicio >> Ejecutar
2. Teclee regedit
3. Click en Aceptar

4. Navegue hasta encontrar las siguientes claves, bórrelas:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\[Trojan file name] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{44240BB 5-BD7D-4D49-A1AA-8AB0F3D3CB44}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}

la primera clave la pude eliminar y enseguida el Spybot me detectaba un intento de modificacion del registro de parte de mljjh (categoria Winlogon Notifiers) constante... cada segundo... y no lo puedo cerrar :S

las otras dos claves no existen, pero si existe {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}

en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}

tambien ejecute el FxVundoB.exe y no lo encontro.

despues entre aca:
este es el informe del virustotal.com de C:\WINDOWS\system32\mljjh.dll:

Antivirus Version Actualización Resultado
AntiVir 6.35.1.3 23.08.2006 ADSPY/Virtumonde.DA.21
Authentium 4.93.8 23.08.2006 no ha encontrado virus
Avast 4.7.844.0 23.08.2006 no ha encontrado virus
AVG 386 23.08.2006 Adware Generic.QBD
BitDefender 7.2 23.08.2006 no ha encontrado virus
CAT-QuickHeal 8.00 23.08.2006 no ha encontrado virus
ClamAV devel-20060426 23.08.2006 no ha encontrado virus
DrWeb 4.33 23.08.2006 Trojan.Virtumod
eTrust-InoculateIT 23.72.104 22.08.2006 no ha encontrado virus
eTrust-Vet 30.3.3035 23.08.2006 Win32/Vundo
Ewido 4.0 23.08.2006 Adware.Virtumonde
Fortinet 2.77.0.0 23.08.2006 Adware/Virtumonde!040
F-Prot 3.16f 23.08.2006 no ha encontrado virus
F-Prot4 4.2.1.29 23.08.2006 no ha encontrado virus
Ikarus 0.2.65.0 23.08.2006 no ha encontrado virus
Kaspersky 4.0.2.24 23.08.2006 not-a-virus:AdWare.Win32.Virtumonde.da
McAfee 4836 23.08.2006 Vundo
Microsoft 1.1560 23.08.2006 no ha encontrado virus
NOD32v2 1.1722 23.08.2006 no ha encontrado virus
Norman 5.90.23 23.08.2006 no ha encontrado virus
Panda 9.0.0.4 23.08.2006 Suspicious file
Sophos 4.08.0 23.08.2006 no ha encontrado virus
Symantec 8.0 23.08.2006 no ha encontrado virus
TheHacker 5.9.8.198 23.08.2006 no ha encontrado virus
UNA 1.83 23.08.2006 no ha encontrado virus
VBA32 3.11.0 23.08.2006 no ha encontrado virus
VirusBuster 4.3.7:9 23.08.2006 no ha encontrado virus

q puedo hacer para borrarlo y terminar con esto :S???

bueno, finalmente pude borrar el archivo C:\WINDOWS\system32\mljjh.dll con el programa Spy Sweeper...

pero tengo unas dudas sobre el TeaTimer:

tengo cambios de registro bloqueados q me aparecen constantemente (cada 1 segundo :S) de:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mljjh= (es la clave q pude barrar antes)

HKEY_LOCAL_MACHINE\SISTEM\ControlSet002\Control\Se ssion Manager\BootExecute_hex(7):61,75,74,6F,63,68,65,63 ,6B,20,61,75,74,6F,63,68,6B,20,2A,00,00

HKEY_LOCAL_MACHINE\SISTEM\ControlSet002\Control\Se ssion Manager\ExcludeFromKnownDll=hex(7):00

borro esas claves del registro?

tambien tengo mensajes constantes del Sygate Personal Firewall:

Sistema y núcleo de Windows NT
LSA Shell (Export Version)
Generic Host Process for Win32 Services
Application Layer Gateway Service
NDIS User mode I/O Driver

no tengo idea q son y si los tengo q bloquear o permitir...

gracias por la ayuda