Estoy infectado este es mi log, necesito ayuda.
Aparece un mensaje en la pantalla y no se puede borrar



Logfile of HijackThis v1.99.0
Scan saved at 5:01:07, on 07-06-2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\CA\ETRUST\ANTIVIRUS\InoRpc.exe
C:\CA\ETRUST\ANTIVIRUS\realmon.exe
C:\WINDOWS\System32\qvpltzu.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\CA\ETRUST\ANTIVIRUS\InoRT.exe
C:\CA\ETRUST\ANTIVIRUS\InoTask.exe
C:\WINDOWS\System32\svchost.exe
C:\Windows\temp\windowsautomaticupdates.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
D:\Gustavo\Programas\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: MIME Type Support Dll - {ED045E50-1DD5-4FA1-B468-E624CC585D3A} - C:\WINDOWS\System32\mimtcore.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Realtime Monitor] C:\CA\ETRUST\ANTIVIRUS\realmon.exe
O4 - HKLM\..\Run: [qvpltzu] C:\WINDOWS\System32\qvpltzu.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpySweeper] C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe /0
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: http://www.neededware.com
O16 - DPF: NDWCab - http://www.neededware.com/ndw2.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {31DDC1FD-CEA3-4837-A6DC-87E67015ADC9} - http://akamai.downloadv3.com/binaries/IA/svcsysnet32_ES_XP.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {BA14D944-0D8C-4F16-A950-6E53EEBB558F} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1040_ES_XP.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A15AAE84-6B96-4133-A464-4DA53132F669}: NameServer = 200.72.1.5,200.72.1.11
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: eTrust Antivirus RPC Server - Computer Associates International, Inc. - C:\CA\ETRUST\ANTIVIRUS\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server - Computer Associates International, Inc. - C:\CA\ETRUST\ANTIVIRUS\InoRT.exe
O23 - Service: eTrust Antivirus Job Server - Computer Associates International, Inc. - C:\CA\ETRUST\ANTIVIRUS\InoTask.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Windows Automatic Updates - Stanford University - C:\Windows\temp\windowsautomaticupdates.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe


Les adjunto la lista de infecciones que tiro panda active scan online y no los pudo eliminar:




Incidencia Estado Elemento

Adware:Adware/Ndware No desinfectado C:\Archivos de programa\Windows Media Player\wmplayer.exe.tmp
Virus:Exploit/Mhtredir.gen Desinfectado C:\Documents and Settings\Gustavo\Configuración local\Archivos temporales de Internet\Content.IE5\TVV7PLSE\CAIVCXUT.HTM
Spyware:Spyware/SurfSideKick No desinfectado C:\Documents and Settings\Gustavo\Configuración local\Archivos temporales de Internet\Ssk.log
Spyware:Spyware/SurfSideKick No desinfectado C:\Documents and Settings\Gustavo\Datos de programa\Sskcwrd.dll
Spyware:Spyware/SurfSideKick No desinfectado C:\Documents and Settings\Gustavo\Datos de programa\Sskknwrd.dll
Spyware:Spyware/SurfSideKick No desinfectado C:\Documents and Settings\Gustavo\Datos de programa\Sskuknwrd.dll
Adware:Adware/MediaBack No desinfectado C:\WINDOWS\system32\mimtcore.dll
Adware:Adware/Ndware No desinfectado C:\WINDOWS\system32\qvpltzu.exe
Virus:Trj/Downloader.CZM Renombrado C:\WINDOWS\system32\qvpltzundw30104lib.dll
Virus:Application/Restart No desinfectado C:\WINDOWS\system32\Tools\Restart.exe
Adware:Adware/Transponder No desinfectado C:\WINDOWS\yycvwm.exe

Hola rayaman, Te doy la bienvenida al Foro de Spyware.

Para empezar esta usando una version vieja de HijackThis por lo que actualiza a la ultima 1.99.1 antes de poner tu log.

Descarga el programa "KillBox" y vas poniendo estos archivos uno a uno siguiendo las indicaciones del artículo

C:\WINDOWS\system32\mimtcore.dll
C:\WINDOWS\system32\qvpltzu.exe
C:\WINDOWS\system32\qvpltzundw30104lib.dll
C:\WINDOWS\system32\Tools\Restart.exe
C:\WINDOWS\yycvwm.exe
C:\Archivos de programa\Windows Media Player\wmplayer.exe.tmp

Le vas poniendo que NO a reiniciar hasta que pongas el ultimo y ahi le pones que SI para que reinicie y elimine estos archivos infectados.

Usa el Disk Cleaner para limpiar cookies y temporales

Pásale Ad-Aware SE actualizado eh instala SpywareBlaster

Reinicia y después nos contas los resultados.

Salu2

He seguido las indicaciones descargue KillBox y se ha eliminado el molesto mensaje que aparecia en la pantalla con la amenaza del Tro virus, pero aun esta el icono de "partypoker" en el escritorio y cuando reinicio o enciendo el pc se echa a correr automaticamente el windows media player, problemas sin solucion al parecer

Descargue la ultima version de Hijack This y este es el log que ha tirado:

Logfile of HijackThis v1.99.1
Scan saved at 14:15:10, on 07-06-2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\CA\ETRUST\ANTIVIRUS\InoRpc.exe
C:\CA\ETRUST\ANTIVIRUS\realmon.exe
C:\CA\ETRUST\ANTIVIRUS\InoRT.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\CA\ETRUST\ANTIVIRUS\InoTask.exe
C:\WINDOWS\System32\svchost.exe
C:\Windows\temp\windowsautomaticupdates.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
D:\Gustavo\Programas\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: MIME Type Support Dll - {ED045E50-1DD5-4FA1-B468-E624CC585D3A} - C:\WINDOWS\System32\mimtcore.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Realtime Monitor] C:\CA\ETRUST\ANTIVIRUS\realmon.exe
O4 - HKLM\..\Run: [qvpltzu] C:\WINDOWS\System32\qvpltzu.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: http://www.neededware.com
O16 - DPF: NDWCab - http://www.neededware.com/ndw2.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {31DDC1FD-CEA3-4837-A6DC-87E67015ADC9} - http://akamai.downloadv3.com/binaries/IA/svcsysnet32_ES_XP.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {BA14D944-0D8C-4F16-A950-6E53EEBB558F} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1040_ES_XP.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A15AAE84-6B96-4133-A464-4DA53132F669}: NameServer = 200.72.1.5,200.72.1.11
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\CA\ETRUST\ANTIVIRUS\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\CA\ETRUST\ANTIVIRUS\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\CA\ETRUST\ANTIVIRUS\InoTask.exe
O23 - Service: Windows Automatic Updates - Stanford University - C:\Windows\temp\windowsautomaticupdates.exe

Espero que respondan como la vez anterior ya la ayuda fue de mucha utilidad

muchas gracias por todo, se pasaron!

Bien te pido que no abras nuevos mensajes sino que continua en el mismo hasta que se de por solucionado.

seguí los siguientes pasos.
Paso 1- Apaga el "Restaurar Sistema"

Paso 2- Descarga la herramienta:TZ-Kill.inf en la misma carpeta creada para el HijackThis

Paso 3- Hacer click derecho sobre el archivo "TZ-Kill.inf" y en el menu que despliega presionar en "Install" o "Instalar" (automáticamente eliminara las entradas "015 - Trusted Zone"

Paso 4- Con todos los programas cerrados ejecuta el HijackThis y dale a estas entradas:

R3 - Default URLSearchHook is missing

O2 - BHO: MIME Type Support Dll - {ED045E50-1DD5-4FA1-B468-E624CC585D3A} - C:\WINDOWS\System32\mimtcore.dll (file missing)

O4 - HKLM\..\Run: [qvpltzu] C:\WINDOWS\System32\qvpltzu.exe

O15 - Trusted Zone: http://www.neededware.com

O16 - DPF: NDWCab - http://www.neededware.com/ndw2.cab

O16 - DPF: {31DDC1FD-CEA3-4837-A6DC-87E67015ADC9} - http://akamai.downloadv3.com/binaries/IA/svcsysnet32_ES_XP.cab

O16 - DPF: {BA14D944-0D8C-4F16-A950-6E53EEBB558F} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1040_ES_XP.cab

O23 - Service: Windows Automatic Updates - Stanford University - C:\Windows\temp\windowsautomaticupdates.exe

Paso 5- Reinicia eh inicia en "Modo a prueba de fallos" (modo seguro)

Paso 6- Prende la opción de "Ver archivos ocultos y del sistema"

Paso 7- Busca y elimina estos archivos usando KillBox

C:\WINDOWS\System32\qvpltzu.exe
C:\Windows\temp\windowsautomaticupdates.exe

Paso 8- Usa el Disk Cleaner para limpiar cookies y temporales

Paso 9- Pásale Ad-Aware SE actualizado eh instala SpywareBlaster

Paso 10- Reinicia y después nos contas los resultados.

Salu2

hola! gracias por haber respondido con la ayuda, segui paso a paso las instrucciones y cuando tenia que eliminar los 2 archivos con el KillBox solo elimino uno C:\Windows\temp\windowsautomaticupdates.exe.

El otro C:\WINDOWS\System32\qvpltzu.exe, me salia un mensaje que el archivo parece no existir por lo tanto no lo pudo eliminar.

Igualmente pase el Disk Cleaner y Ad Aware, luego reinicie pero nuevamente se echo a correr el Windows Media Player y el icono de poker tambien estaba ahi en el escritorio.

Este es el log que ha quedado:

Logfile of HijackThis v1.99.1
Scan saved at 0:17:33, on 08-06-2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\CA\ETRUST\ANTIVIRUS\InoRpc.exe
C:\CA\ETRUST\ANTIVIRUS\InoRT.exe
C:\CA\ETRUST\ANTIVIRUS\realmon.exe
C:\CA\ETRUST\ANTIVIRUS\InoTask.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Gustavo\Programas\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Realtime Monitor] C:\CA\ETRUST\ANTIVIRUS\realmon.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A15AAE84-6B96-4133-A464-4DA53132F669}: NameServer = 200.72.1.5,200.72.1.11
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\CA\ETRUST\ANTIVIRUS\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\CA\ETRUST\ANTIVIRUS\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\CA\ETRUST\ANTIVIRUS\InoTask.exe

Tambien he de mencionar que antes de que se infectara el pc en el disco C: tenia como 5 GB libres de memoria, y cuando se infecto bajo a algo mas de 1GB si me puedes orientar....

Gracias por la ayuda yespero solucionar el problema

Ok ya que parece que tenes algo que el HijackThis no puede mostrar vamos a probar con un rastreador de malware llamado MWAV.exe . Esta herramienta no elimina en su versión gratuita pero genera un log donde te dirá los archivos infectados. Este log es muy largo por lo que te pido que sólo copies los archivos reconocidos como infectados.

Salu2

Hola, hice lo que me indicaste y escane con MWAV obteniendo un log super largo asi que he posteado solo lo que me parecio dudoso:


Wed Jun 08 12:51:48 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Wed Jun 08 12:51:50 2005 => Offending Folder C:\DOCUME~1\Gustavo\FAVORI~1\Living present...
Wed Jun 08 12:52:07 2005 => Object "ISearchTech.ISTdownloader Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Jun 08 12:52:13 2005 => System found infected with iSearch Spyware/Adware (patch.exe)! Action taken: No Action Taken.
Wed Jun 08 12:52:13 2005 => Object "iSearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Wed Jun 08 12:52:55 2005 => File C:\WINDOWS\System32\emlsc.exe infected by "Trojan.Win32.VB.wh" Virus! Action Taken: No Action Taken.

Wed Jun 08 12:53:33 2005 => Result: ERROR!!! File C:\WINDOWS\System32\qvpltzundw30104lib_dll.vir: Scanning Failure!!!
Wed Jun 08 12:53:33 2005 => C:\WINDOWS\System32\qvpltzundw30104lib_dll.vir possibly infected and removed by background antivirus package!
Wed Jun 08 12:53:33 2005 => File C:\WINDOWS\System32\qvpltzundw30104lib_dll.vir infected by "BkCln.Unknown" Virus! Action Taken: No Action Taken.

Wed Jun 08 12:53:58 2005 => File C:\WINDOWS\System32\WinStat11.dll tagged as "not-a-virus:AdWare.Winsta.a". Action Taken: No Action Taken.

Wed Jun 08 12:54:24 2005 => ***** Checking for specific ITW Viruses *****
Wed Jun 08 12:54:24 2005 => Checking for Welchia Virus...
Wed Jun 08 12:54:24 2005 => Checking for LovGate Virus...
Wed Jun 08 12:54:24 2005 => Checking for CodeRed Virus...
Wed Jun 08 12:54:24 2005 => Checking for OpaServ Virus...
Wed Jun 08 12:54:24 2005 => Checking for Sobig.e Virus...
Wed Jun 08 12:54:24 2005 => Checking for Winupie Virus...
Wed Jun 08 12:54:24 2005 => Checking for Swen Virus...
Wed Jun 08 12:54:24 2005 => Checking for JS.Fortnight Virus...
Wed Jun 08 12:54:24 2005 => Checking for Novarg Virus...
Wed Jun 08 12:54:24 2005 => Checking for Pagabot Virus...
Wed Jun 08 12:54:24 2005 => Checking for Parite.b Virus...
Wed Jun 08 12:54:24 2005 => Checking for Parite.a Virus...
Wed Jun 08 12:54:24 2005 => Checking for Adware.SeekSeek Virus...

Wed Jun 08 12:54:24 2005 => ***** Scanning complete. *****

Wed Jun 08 12:54:24 2005 => Total Objects Scanned: 12131
Wed Jun 08 12:54:24 2005 => Total Virus(es) Found: 6
Wed Jun 08 12:54:24 2005 => Total Disinfected Files: 0
Wed Jun 08 12:54:24 2005 => Total Files Renamed: 0
Wed Jun 08 12:54:24 2005 => Total Deleted Objects: 0
Wed Jun 08 12:54:24 2005 => Total Errors: 93
Wed Jun 08 12:54:24 2005 => Time Elapsed: 00:03:16
Wed Jun 08 12:54:24 2005 => Virus Database Date: 2005/06/06
Wed Jun 08 12:54:24 2005 => Virus Database Count: 133635

Wed Jun 08 12:54:24 2005 => Scan Completed.

Estos archivos aparecen casi al final del log y se repiten por ejemplo worm.001, despues worm.002, y worm.003 hasta el 028 o mas para los otros casos.

Wed Jun 08 12:54:23 2005 => Scanning File C:\DOCUME~1\Gustavo\CONFIG~1\Temp\worm001.avc

Wed Jun 08 12:54:21 2005 => Scanning File C:\DOCUME~1\Gustavo\CONFIG~1\Temp\virus001.avc

Wed Jun 08 12:54:17 2005 => Scanning File C:\DOCUME~1\Gustavo\CONFIG~1\Temp\unp000.avc

Wed Jun 08 12:54:16 2005 => Scanning File C:\DOCUME~1\Gustavo\CONFIG~1\Temp\troj001.avc

Wed Jun 08 12:54:12 2005 => Scanning File C:\DOCUME~1\Gustavo\CONFIG~1\Temp\Download\worm001 .avc

Wed Jun 08 12:54:11 2005 => Scanning File C:\DOCUME~1\Gustavo\CONFIG~1\Temp\Download\virus00 1.avc

Wed Jun 08 12:54:10 2005 => Scanning File C:\DOCUME~1\Gustavo\CONFIG~1\Temp\Download\unp000. avc

Wed Jun 08 12:54:09 2005 => Scanning File C:\DOCUME~1\Gustavo\CONFIG~1\Temp\Download\troj001 .avc

Wed Jun 08 12:54:09 2005 => Scanning File C:\DOCUME~1\Gustavo\CONFIG~1\Temp\Download\malw001 .avc

Wed Jun 08 12:54:07 2005 => Scanning File C:\DOCUME~1\Gustavo\CONFIG~1\Temp\Bases_X\worm001. avc

Wed Jun 08 12:54:07 2005 => Scanning File C:\DOCUME~1\Gustavo\CONFIG~1\Temp\Bases_X\virus001 .avc

Wed Jun 08 12:54:05 2005 => Scanning File C:\DOCUME~1\Gustavo\CONFIG~1\Temp\Bases_X\troj001. avc

Espero que entiendas lo que puse porque yo no entiendo mucho y espero haber hecho lo correcto.

Esperando instrucciones....gracias

Bien los ultimos archivos infectados aparecen en la carpeta de Temporales por lo que usa el Disk Cleaner para limpiar los temporales y tambien limpia la carpeta a mano.

Descarga el programa "KillBox" y vas poniendo estos archivos uno a uno siguiendo las indicaciones del artículo

C:\WINDOWS\System32\qvpltzundw30104lib_dll.vir
C:\WINDOWS\System32\WinStat11.dll

Le vas poniendo que NO a reiniciar hasta que pongas el ultimo y ahi le pones que SI para que reinicie y elimine estos archivos infectados.

Despues que reinicie descarga el programa Ewido lo actualizas, lo ejecutas y nos pones tambien su log junto con un de Hijackthis.

Después nos contas los resultados.

Salu2

Ejecute el Ewido pero comienza a escanear pero se para y no sigue asi es que no pude conseguir el log.

Elimine los archivos indicados con KillBox

Aqui esta el log que Hijack This arroja:

Logfile of HijackThis v1.99.1
Scan saved at 1700, on 09-06-2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\CA\ETRUST\ANTIVIRUS\InoRpc.exe
C:\CA\ETRUST\ANTIVIRUS\InoRT.exe
C:\CA\ETRUST\ANTIVIRUS\InoTask.exe
C:\CA\ETRUST\ANTIVIRUS\realmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
D:\Gustavo\Programas\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Realtime Monitor] C:\CA\ETRUST\ANTIVIRUS\realmon.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A15AAE84-6B96-4133-A464-4DA53132F669}: NameServer = 200.72.1.5,200.72.1.11
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\CA\ETRUST\ANTIVIRUS\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\CA\ETRUST\ANTIVIRUS\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\CA\ETRUST\ANTIVIRUS\InoTask.exe

Esperando Instrucciones para actuar, cambio.

Como te dije ya anteriormente el HijackThis no puede mostrar tu problema por lo que no necesitamos el log, saca un nuevo con MWAV y pasale al menos dos "Antivirus Online" y trata de ejecutar el EWIDO en modo seguro.

Salu2