creo que tengo el "sysmon" (Solucionado)

Buscar

		Foro de Spyware » Spyware - Adware - Hijackers - Malwares » Temas Solucionados
creo que tengo el "sysmon" (Solucionado)

Para evitar Virus, Spyware y otros Malwares, te recomendamos mantenerte informado en: InfoSpyware Blog

Temas Solucionados Casos de HijackThis y Malwares resueltos.
(Solo lectura)

Enviar a:

Herramientas

post #1

30/01/07, 14:12:41

Inork

Usuario

Registrado: ene 2007

Ubicación: España

Mensajes: 13

creo que tengo el "sysmon" (Solucionado)

Paso el Tune Up Utilities 2006 y me dice que tengo el gusano "sysmon"

No tengo encendida la conexion a Internet, pues el antivirus, el Firewall y
el Antispyware (todos de McAfee) me dan un error (en ntdll.dll) y se cierran
; ademas si lanzo el antivirus, el PC se queda usando el 100% y para hacer
algo tengo que terminar el proceso del antivirus, aqui adjunto el log del
HJD:

Logfile of HijackThis v1.99.1
Scan saved at 11:47:33, on 30/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\McAfee\HackerWatch\HWAPI.exe
C:\ARCHIV~1\McAfee\MSC\mclogsrv.exe
C:\ARCHIV~1\McAfee\MSC\mcupdmgr.exe
c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe
C:\Archivos de programa\McAfee\McAfee VirusScan\VsStat.exe
C:\ARCHIV~1\McAfee\MSC\mcpromgr.exe
c:\ARCHIV~1\ARCHIV~1\mcafee\mcproxy\mcproxy.exe
c:\ARCHIV~1\ARCHIV~1\mcafee\redirsvc\redirsvc.exe
C:\ARCHIV~1\McAfee\MSC\mctskshd.exe
C:\ARCHIV~1\McAfee\MSC\mcusrmgr.exe
C:\Archivos de programa\McAfee\McAfee VirusScan\Webscanx.exe
C:\Archivos de programa\McAfee\MPF\MPFSrv.exe
C:\ARCHIV~1\McAfee\MPS\mps.exe
C:\Archivos de programa\McAfee\McAfee VirusScan\Avconsol.exe
C:\Archivos de programa\McAfee\MSK\MskSrver.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\SiteAdvisor\6009\SAService.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\McAfee\MPS\mpsevh.exe
C:\WINDOWS\Explorer.EXE
C:\ARCHIV~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\McAfee\McAfee VirusScan\alogserv.exe
C:\WINDOWS\System32\RunDLL32.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd.exe
C:\Archivos de programa\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Telefonica\bin\sprtcmd.exe
C:\Archivos de programa\McAfee\McAfee AntiSpyware\MssCli.exe
C:\Archivos de programa\McAfee\MSK\MskAgent.exe
C:\Archivos de programa\SiteAdvisor\6009\SiteAdv.exe
C:\Archivos de programa\McAfee\MBK\McAfeeDataBackup.exe
C:\WINDOWS\System32\sysmon.exe
c:\archivos de programa\mcafee\msc\mcuimgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\VIA\RAID\raid_tool.exe
C:\Archivos de programa\DVB-USB\DVB-USB Terrestrial\RC.exe
c:\archivos de programa\mcafee\mpf\mc\mpfalert.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F3 - REG:win.ini: load= C:\BC5\PIPELINE\remind.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\6009\SiteAdv.dll
O2 - BHO: McAfee Popup Blocker - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - c:\archivos de programa\mcafee\mps\mcpopup.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\6009\SiteAdv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Alogserv] C:\Archivos de programa\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [Babylon Client] C:\Archivos de programa\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Archivos de programa\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Telefonica] "C:\Archivos de programa\Telefonica\bin\sprtcmd.exe" /P Telefonica
O4 - HKLM\..\Run: [_AntiSpyware] C:\Archivos de programa\McAfee\McAfee AntiSpyware\MssCli.exe
O4 - HKLM\..\Run: [MskAgentexe] C:\Archivos de programa\McAfee\MSK\MskAgent.exe
O4 - HKLM\..\Run: [SiteAdvisor] C:\Archivos de programa\SiteAdvisor\6009\SiteAdv.exe
O4 - HKLM\..\Run: [McAfee Backup] C:\Archivos de programa\McAfee\MBK\McAfeeDataBackup.exe
O4 - HKLM\..\Run: [MBkLogOnHook] C:\Archivos de programa\McAfee\MBK\LogOnHook.exe
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\sysmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: RC.exe.lnk = C:\Archivos de programa\DVB-USB\DVB-USB Terrestrial\RC.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Archivos de programa\VIA\RAID\raid_tool.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Archivos de programa\SiteAdvisor\6009\SiteAdv.dll
O20 - AppInit_DLLs: c:\windows\system32\ldcore.dll
O23 - Service: Administrador AVSync (AvSynMgr) - Network Associates, Inc. - C:\Archivos de programa\McAfee\McAfee VirusScan\Avsynmgr.exe
O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Archivos de programa\Archivos comunes\McAfee\HackerWatch\HWAPI.exe
O23 - Service: McAfee AntiSpyware Real-Time Scanner (McAfeeAntiSpyware) - Network Associates, Inc. - C:\Archivos de programa\McAfee\McAfee AntiSpyware\Msssrv.exe
O23 - Service: McAfee Log Manager (McLogManagerService) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mclogsrv.exe
O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcupdmgr.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcpromgr.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\ARCHIV~1\ARCHIV~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\ARCHIV~1\ARCHIV~1\mcafee\redirsvc\redirsvc.exe
O23 - Service: McAfee Task Scheduler (mctskshd.exe) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mctskshd.exe
O23 - Service: McAfee User Manager (mcusrmgr) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcusrmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Archivos de programa\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Privacy Service (MPS9) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MPS\mps.exe
O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee Inc. - C:\Archivos de programa\McAfee\MSK\MskSrver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Archivos de programa\SiteAdvisor\6009\SAService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

¿que debo hacer?
se me ocurre hacer fix checked a la entrada del sysmon y a la 020, antes habiendo terminado el proceso del sysmon; luego borrar el c:/windows/system32/sysmon.exe ; hacer un RegSeeker y un DiskCleaner.....

pero para estar mas seguro ¿que hago exactamente? y que elimino.

Un saludo y gracias.

InfoSpyware

post #2

31/01/07, 22:26:05

Acron_0248 Acron_0248 está offline

Moderador

Registrado: jul 2005

Ubicación: 127.0.0.1

Mensajes: 10.006

Enviar un mensaje a través de AIM a Acron_0248

Re: creo que tengo el "sysmon"

Hola, que tal....

Descarga las siguientes herramientas:

Paso 1:

Desactiva la restauracion del sistema
Configura el sistema para ver todos los archivos ocultos

Paso 2:

Ejecuta el hijackthis sin tener ningn otro programa abierto, marca y dale FixChecked a las siguientes entradas:

O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\sysmon.exe

O20 - AppInit_DLLs: c:\windows\system32\ldcore.dll

Paso 3:

Reinicia el sistema en modo a prueba de fallos (modo seguro)

Copia y pega las siguientes entradas en el Killbox (una a la vez) donde dice "Full Path of File to Delete" y le das click al boton rojo con cruz blanca del programa para eliminar el archivo:

C:\WINDOWS\System32\sysmon.exe

c:\windows\system32\ldcore.dll

Limpia los temporales y cookies con el Disk Cleaner

Limpia el registro de windows con el Regseeker (pasalo varias veces hasta que no quede nada por limpiar)

Paso 4:

Reincia el sistema en modo normal

Haz un chequeo con los antivirus online Kaspersky y Ewido

Nos comentas como te fue y dejas un nuevo log para ver como quedo junto con los reportes de los antivirus online (si detectaron infecciones)

PD:// Los problemas del McAfee nada tienen que ver con la infección, a menos no de forma directa, es posible que te llegue a tocar reinstalar dicha aplicación

Salu2

Linux User #399288 != 1337 || Ub3|2

Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog

* Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando.
* Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
* No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

post #3

02/02/07, 14:31:23

Inork

Usuario

Registrado: ene 2007

Ubicación: España

Mensajes: 13

Re: creo que tengo el "sysmon"

Buenas
Tras seguir los pasos que me recomendaste estos son los resultados:

Hice lo que me dijiste pero al hacer "Fix checked" con el HJT a la entrada:
020 - AppInit_DLLs: c:\windows\system32\ldcore.dll
se produjo un error:

que hacia que no pudiera eliminar el ldcore.dll ni siquiera lo borre con el killbox, pero luego tras pasar el DiskCleaner, el RegSeeker, el Kaspersky y el Ewido consegui eliminarlo y que los errores del Firewall, del Antispyware y del antivirus desaparecieron; aqui te pongo los resultados originales:

System Temporary Files (2235 kB; 162 items): cleaned 2235 kB in 162 items.
Temporary Internet Files (254,7 MB; 13869 items): cleaned 254,7 MB in 13869 items.
Internet Cookies (59 kB; 206 items): cleaned 59 kB in 206 items.
Internet History (0 bytes; 789 items): cleaned 0 bytes in 789 items.
Recent Documents (63 kB; 91 items): cleaned 63 kB in 91 items.
URLs in IE Address Bar (878 bytes; 25 items): cleaned 878 bytes in 25 items.
Media Player Recent URLs (413 bytes; 4 items): cleaned 413 bytes in 4 items.
Paint Recent Files (330 bytes; 4 items): cleaned 330 bytes in 4 items.
WordPad Recent Files (206 bytes; 4 items): cleaned 206 bytes in 4 items.
Recycle Bin (12 kB; 3 items): cleaned 12 kB in 3 items.
Acrobat Reader 4/5.x/6 (792 bytes; 14 items): cleaned 792 bytes in 14 items.
Common Dialog MRUs (6 kB; 76 items): cleaned 6 kB in 76 items.
IE Autocomplete Form History (12 bytes; 3 items): cleaned 12 bytes in 3 items.
PowerDVD (0 bytes; 1 item): cleaned 0 bytes in 1 item.
Search History For Windows 2000/XP (14 bytes; 2 items): cleaned 14 bytes in 2 items.
Windows Log Files (1190 kB; 14 items): cleaned 1190 kB in 14 items.
WinRar 2.x (354 bytes; 4 items): cleaned 354 bytes in 4 items.
Forced \Windows\Temp cleaner (0 bytes; 126 items): cleaned 0 bytes in 126 items.
WinXP prefetch clean (3244 kB; 72 items): cleaned 3244 kB in 72 items.

Scheduled 0 file(s) for removal on reboot.

Cleaned total of 261,3 MB in 15469 items.
--------------------------------------------------------------------------

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
jueves, 01 de febrero de 2007 20:01:01
Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.0
Ultima actualización: 1/02/2007
Registros en la base antivirus: 249161
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: standard
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
A:\
C:\
D:\
E:\

Estadísticas:
Número de objeros analizados: 169724
Virus encontrados: 9
Objetos infectados: 16 / 0
Objetos sospechosos: 0
Duración del análisis: 02:16:13

Bombre del objeto infectado / Nombre del virus / Última acción
C:\Documents and Settings\All Users\Datos de programa\McAfee\MNA\NAData Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\McAfee\MPF\data\log.edb Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\McAfee\MPF\data\logout.edb Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\McAfee\MSC\Logs\Events.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\McAfee\MSC\McUsers.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\McAfee\MSK\APH.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\McAfee\MSK\MSKWMDB.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\McAfee\MSK\RBLDB.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\McAfee\MSK\settingsdb.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado
C:\Documents and Settings\JAVIER SANZ BALLÓN\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\JAVIER SANZ BALLÓN\Configuración local\Datos de programa\ApplicationHistory\McAfeeDataBackup.exe.a 325967e.ini.inuse Object is locked saltado
C:\Documents and Settings\JAVIER SANZ BALLÓN\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\JAVIER SANZ BALLÓN\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\JAVIER SANZ BALLÓN\Configuración local\Datos de programa\SupportSoft\Telefonica\JAVIER SANZ BALLÓN\state\logs\sprtcmd.log Object is locked saltado
C:\Documents and Settings\JAVIER SANZ BALLÓN\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\JAVIER SANZ BALLÓN\Configuración local\Temp\~DF4E3E.tmp Object is locked saltado
C:\Documents and Settings\JAVIER SANZ BALLÓN\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\JAVIER SANZ BALLÓN\Datos de programa\SiteAdvisor\SiteAdv.csh Object is locked saltado
C:\Documents and Settings\JAVIER SANZ BALLÓN\Mis documentos\cosas temp\+--\bin3\Nueva carpeta (2)\keira.exe/ClrSchP048.exe Infectados: Backdoor.Win32.Ruledor.c saltado
C:\Documents and Settings\JAVIER SANZ BALLÓN\Mis documentos\cosas temp\+--\bin3\Nueva carpeta (2)\keira.exe StarDust: infectado - 1 saltado
C:\Documents and Settings\JAVIER SANZ BALLÓN\Mis documentos\cosas temp\+--\keira\keira.exe/ClrSchP048.exe Infectados: Backdoor.Win32.Ruledor.c saltado
C:\Documents and Settings\JAVIER SANZ BALLÓN\Mis documentos\cosas temp\+--\keira\keira.exe StarDust: infectado - 1 saltado
C:\Documents and Settings\JAVIER SANZ BALLÓN\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\JAVIER SANZ BALLÓN\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Temp\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Temp\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Temp\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Temp\stdrun3.exe Infectados: Trojan-Downloader.Win32.Obfuscated.bf saltado
C:\Documents and Settings\LocalService\Configuración local\Temp\stdrun4.exe Infectados: Trojan-Dropper.Win32.Agent.azk saltado
C:\Documents and Settings\LocalService\Configuración local\Temp\stdrun5.exe Infectados: Email-Worm.Win32.Zhelatin.j saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Temp\mst29C.tmp Infectados: Trojan.Win32.Agent.vg saltado
C:\Documents and Settings\NetworkService\Configuración local\Temp\stdrun3.exe Infectados: Trojan-Downloader.Win32.Obfuscated.bf saltado
C:\Documents and Settings\NetworkService\Configuración local\Temp\stdrun5.exe Infectados: Email-Worm.Win32.Zhelatin.j saltado
C:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\WINDOWS\Debug\oakley.log Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\Downloaded Program Files\on.exe Infectados: Trojan-Downloader.Win32.Femad.gen saltado
C:\WINDOWS\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\SoftwareDistribution\EventCache\{665B4B F3-7BF8-43E4-9E5E-C89589D7A9EB}.bin Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado
C:\WINDOWS\Sti_Trace.log Object is locked saltado
C:\WINDOWS\system32\Chgplbda.dll Infectados: Backdoor.Win32.Padodor.gen saltado
C:\WINDOWS\system32\chk_disk.exe Infectados: Trojan.Win32.Agent.tk saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\config\systemprofile\Configura ción local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\WINDOWS\system32\config\systemprofile\Configura ción local\Historial\History.IE5\index.dat Object is locked saltado
C:\WINDOWS\system32\config\systemprofile\Cookies\i ndex.dat Object is locked saltado
C:\WINDOWS\system32\h323log.txt Object is locked saltado
C:\WINDOWS\system32\kernels88.exe Infectados: Email-Worm.Win32.Zhelatin.j saltado
C:\WINDOWS\system32\ldcore.dll Infectados: Trojan-Downloader.Win32.Small.dxm saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\winnum32.dll Infectados: Trojan.Win32.Agent.vg saltado
C:\WINDOWS\Temp\sqlite_5B707FCbIWQVrkw Object is locked saltado
C:\WINDOWS\Temp\sqlite_6OX7TfmKf4OW9fa Object is locked saltado
C:\WINDOWS\Temp\sqlite_bp8sLCLcMU7c8En Object is locked saltado
C:\WINDOWS\Temp\sqlite_dhcNsRPGPsTDnES Object is locked saltado
C:\WINDOWS\Temp\sqlite_DOxxHpeyOe6uRg4 Object is locked saltado
C:\WINDOWS\Temp\sqlite_GlOKJ9b1IEErPOA Object is locked saltado
C:\WINDOWS\Temp\sqlite_HVfpudSNXzLGPio Object is locked saltado
C:\WINDOWS\Temp\sqlite_I04aNJBP62GvdJ0 Object is locked saltado
C:\WINDOWS\Temp\sqlite_i9ESfWNascVEIGi Object is locked saltado
C:\WINDOWS\Temp\sqlite_IOmKqy5CjcRxLVe Object is locked saltado
C:\WINDOWS\Temp\sqlite_ItaqALEec8lv2CT Object is locked saltado
C:\WINDOWS\Temp\sqlite_KaTU0RnhZxZEj8B Object is locked saltado
C:\WINDOWS\Temp\sqlite_lSHq5NTpXhUQJdL Object is locked saltado
C:\WINDOWS\Temp\sqlite_qnJZuGCEx3lxmQs Object is locked saltado
C:\WINDOWS\Temp\WebPoolFileFile Object is locked saltado
C:\WINDOWS\wiadebug.log Object is locked saltado
C:\WINDOWS\wiaservc.log Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado

Análisis completado.
--------------------------------------------------------------------------

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________

Name: Downloader.Small.dxm
Path: [680] c:\windows\system32\ldcore.dll
Risk: High

Name: Downloader.Small.dxm
Path: [728] c:\windows\system32\ldcore.dll
Risk: High

Name: Downloader.Small.dxm
Path: [740] c:\windows\system32\ldcore.dll
Risk: High

Name: Downloader.Small.dxm
Path: [928] c:\windows\system32\ldcore.dll
Risk: High

Name: Downloader.Small.dxm
Path: [984] c:\windows\system32\ldcore.dll
Risk: High

Name: Downloader.Small.dxm
Path: [1088] c:\windows\system32\ldcore.dll
Risk: High

Name: Downloader.Small.dxm
Path: [1124] c:\windows\system32\ldcore.dll
Risk: High

Name: Downloader.Small.dxm
Path: [1360] c:\windows\system32\ldcore.dll
Risk: High

Name: Downloader.Small.dxm
Path: [1452] c:\windows\system32\ldcore.dll
Risk: High

Name: Downloader.Small.dxm
Path: [1664] c:\windows\system32\ldcore.dll
Risk: High

Name: Downloader.Small.dxm
Path: [1700] c:\windows\system32\ldcore.dll
Risk: High

Name: Downloader.Small.dxm
Path: [1860] c:\windows\system32\ldcore.dll
Risk: High

Name: Downloader.Small.dxm
Path: [1988] c:\windows\system32\ldcore.dll
Risk: High

Name: Downloader.Small.dxm
Path: [184] c:\windows\system32\ldcore.dll
Risk: High

Name: Downloader.Small.dxm
Path: [228] c:\windows\system32\ldcore.dll
Risk: High

Name: Backdoor.Padodor
Path: [1152] C:\WINDOWS\System32\Chgplbda.dll
Risk: High

Name: Downloader.Small.dxm
Path: [2752] c:\windows\system32\ldcore.dll
Risk: High

Name: Downloader.Small.dxm
Path: [2896] c:\windows\system32\ldcore.dll
Risk: High

Name: Downloader.Small.dxm
Path: [2936] c:\windows\system32\ldcore.dll
Risk: High

Name: Downloader.Small.dxm
Path: [3136] c:\windows\system32\ldcore.dll
Risk: High

Name: Downloader.Small.dxm
Path: [3344] c:\windows\system32\ldcore.dll
Risk: High

Name: Downloader.Small.dxm
Path: [3492] c:\windows\system32\ldcore.dll
Risk: High

Name: Downloader.Small.dxm
Path: [3772] c:\windows\system32\ldcore.dll
Risk: High

Name: Downloader.Small.dxm
Path: [4024] c:\windows\system32\ldcore.dll
Risk: High

Name: Downloader.Obfuscated.bf
Path: C:\Documents and Settings\LocalService\Configuración local\Temp\stdrun3.exe
Risk: High

Name: Dropper.Agent.azk
Path: C:\Documents and Settings\LocalService\Configuración local\Temp\stdrun4.exe
Risk: High

Name: Trojan.Agent.vg
Path: C:\Documents and Settings\NetworkService\Configuración local\Temp\mst29C.tmp
Risk: High

Name: Downloader.Obfuscated.bf
Path: C:\Documents and Settings\NetworkService\Configuración local\Temp\stdrun3.exe
Risk: High

Name: Downloader.Femad
Path: C:\WINDOWS\Downloaded Program Files\on.exe
Risk: High

Name: Backdoor.Padodor
Path: C:\WINDOWS\system32\Chgplbda.dll
Risk: High

Name: Trojan.Agent.tk
Path: C:\WINDOWS\system32\chk_disk.exe
Risk: High

Name: Downloader.Small.dxm
Path: C:\WINDOWS\system32\ldcore.dll
Risk: High

Name: Trojan.Agent.vg
Path: C:\WINDOWS\system32\winnum32.dll
Risk: High
--------------------------------------------------------------------------
--------------------------------------------------------------------------

Tras lo que pase el Ewido un par de veces junto con mi antivirus y antispyware y el restultado fue el siguiente:

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
viernes, 02 de febrero de 2007 16:26:11
Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.0
Ultima actualización: 2/02/2007
Registros en la base antivirus: 264161
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: estendidas
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
A:\
C:\
D:\
E:\

Estadísticas:
Número de objeros analizados: 170337
Virus encontrados: 0
Objetos infectados: 0 / 0
Objetos sospechosos: 0
Duración del análisis: 02:16:05

Bombre del objeto infectado / Nombre del virus / Última acción
C:\Documents and Settings\All Users\Datos de programa\McAfee\MNA\NAData Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\McAfee\MPF\data\log.edb Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\McAfee\MSC\Logs\Events.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\McAfee\MSC\McUsers.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\McAfee\MSK\APH.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\McAfee\MSK\MSKWMDB.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\McAfee\MSK\RBLDB.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\McAfee\MSK\settingsdb.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado
C:\Documents and Settings\JAVIER SANZ BALLÓN\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\JAVIER SANZ BALLÓN\Configuración local\Datos de programa\ApplicationHistory\McAfeeDataBackup.exe.a 325967e.ini.inuse Object is locked saltado
C:\Documents and Settings\JAVIER SANZ BALLÓN\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\JAVIER SANZ BALLÓN\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\JAVIER SANZ BALLÓN\Configuración local\Datos de programa\SupportSoft\Telefonica\JAVIER SANZ BALLÓN\state\logs\sprtcmd.log Object is locked saltado
C:\Documents and Settings\JAVIER SANZ BALLÓN\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\JAVIER SANZ BALLÓN\Configuración local\Historial\History.IE5\MSHist0120070202200702 03\index.dat Object is locked saltado
C:\Documents and Settings\JAVIER SANZ BALLÓN\Configuración local\Temp\~DF1916.tmp Object is locked saltado
C:\Documents and Settings\JAVIER SANZ BALLÓN\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\JAVIER SANZ BALLÓN\Datos de programa\SiteAdvisor\SiteAdv.csh Object is locked saltado
C:\Documents and Settings\JAVIER SANZ BALLÓN\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\JAVIER SANZ BALLÓN\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\JAVIER SANZ BALLÓN\UserData\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Temp\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Temp\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Temp\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\WINDOWS\Debug\oakley.log Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\SoftwareDistribution\EventCache\{2B29D8 54-4E5E-49EC-A71B-F2184FECBE7D}.bin Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado
C:\WINDOWS\Sti_Trace.log Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\h323log.txt Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\Temp\sqlite_3rY2YuPTyycWlmZ Object is locked saltado
C:\WINDOWS\Temp\sqlite_6SevAMHMrFtshGi Object is locked saltado
C:\WINDOWS\Temp\sqlite_7qk27Le5uK5Sr8H Object is locked saltado
C:\WINDOWS\Temp\sqlite_anRhpFhOBnzlgdp Object is locked saltado
C:\WINDOWS\Temp\sqlite_CBMEQdeeaC1daBo Object is locked saltado
C:\WINDOWS\Temp\sqlite_cgysHqSdhb9pQKc Object is locked saltado
C:\WINDOWS\Temp\sqlite_cM8il5UMvnVrzeH Object is locked saltado
C:\WINDOWS\Temp\sqlite_dXe6PApy4B6APK8 Object is locked saltado
C:\WINDOWS\Temp\sqlite_j0PpPmOY4uxdeyu Object is locked saltado
C:\WINDOWS\Temp\sqlite_JZG10YGTsIO46ya Object is locked saltado
C:\WINDOWS\Temp\sqlite_nEdww34xSzqcnzO Object is locked saltado
C:\WINDOWS\Temp\sqlite_NOGhx5TPkl4thFa Object is locked saltado
C:\WINDOWS\Temp\sqlite_uwlNfjpLgroNNwa Object is locked saltado
C:\WINDOWS\Temp\sqlite_XwAeJfQ3TTqm2uE Object is locked saltado
C:\WINDOWS\Temp\sqlite_Z02qutHxc1Qb2fw Object is locked saltado
C:\WINDOWS\Temp\WebPoolFileFile Object is locked saltado
C:\WINDOWS\wiadebug.log Object is locked saltado
C:\WINDOWS\wiaservc.log Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado

Análisis completado.

Y el ewido no dio ningun resultado, aun asi pues creo que el log del HJT aun no esta llimpio os posteo el resultado del ultimo HJT que he pasado:
Logfile of HijackThis v1.99.1
Scan saved at 19:03:32, on 02/02/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Archivos de programa\Archivos comunes\McAfee\HackerWatch\HWAPI.exe
C:\Archivos de programa\McAfee\McAfee AntiSpyware\Msssrv.exe
C:\ARCHIV~1\McAfee\MSC\mclogsrv.exe
C:\ARCHIV~1\McAfee\MSC\mcupdmgr.exe
C:\Archivos de programa\McAfee\McAfee VirusScan\VsStat.exe
c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe
C:\ARCHIV~1\McAfee\MSC\mcpromgr.exe
c:\ARCHIV~1\ARCHIV~1\mcafee\mcproxy\mcproxy.exe
c:\ARCHIV~1\ARCHIV~1\mcafee\redirsvc\redirsvc.exe
C:\ARCHIV~1\McAfee\MSC\mctskshd.exe
C:\ARCHIV~1\McAfee\MSC\mcusrmgr.exe
C:\Archivos de programa\McAfee\MPF\MPFSrv.exe
C:\Archivos de programa\McAfee\McAfee VirusScan\Webscanx.exe
C:\ARCHIV~1\McAfee\MPS\mps.exe
C:\Archivos de programa\McAfee\MSK\MskSrver.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\SiteAdvisor\6009\SAService.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\McAfee\McAfee VirusScan\Avconsol.exe
C:\Archivos de programa\McAfee\MPS\mpsevh.exe
C:\WINDOWS\Explorer.EXE
C:\ARCHIV~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\McAfee\McAfee VirusScan\alogserv.exe
C:\WINDOWS\System32\RunDLL32.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd.exe
C:\Archivos de programa\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Telefonica\bin\sprtcmd.exe
C:\Archivos de programa\McAfee\McAfee AntiSpyware\MssCli.exe
C:\Archivos de programa\McAfee\MSK\MskAgent.exe
C:\Archivos de programa\SiteAdvisor\6009\SiteAdv.exe
C:\Archivos de programa\McAfee\MBK\McAfeeDataBackup.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\VIA\RAID\raid_tool.exe
C:\Archivos de programa\DVB-USB\DVB-USB Terrestrial\RC.exe
C:\WINDOWS\System32\wuauclt.exe
c:\archivos de programa\mcafee\msc\mcuimgr.exe
C:\WINDOWS\System32\mdm.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F3 - REG:win.ini: load= C:\BC5\PIPELINE\remind.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\6009\SiteAdv.dll
O2 - BHO: McAfee Popup Blocker - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - c:\archivos de programa\mcafee\mps\mcpopup.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\6009\SiteAdv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Alogserv] C:\Archivos de programa\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [Babylon Client] C:\Archivos de programa\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Archivos de programa\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Telefonica] "C:\Archivos de programa\Telefonica\bin\sprtcmd.exe" /P Telefonica
O4 - HKLM\..\Run: [_AntiSpyware] C:\Archivos de programa\McAfee\McAfee AntiSpyware\MssCli.exe
O4 - HKLM\..\Run: [MskAgentexe] C:\Archivos de programa\McAfee\MSK\MskAgent.exe
O4 - HKLM\..\Run: [SiteAdvisor] C:\Archivos de programa\SiteAdvisor\6009\SiteAdv.exe
O4 - HKLM\..\Run: [McAfee Backup] C:\Archivos de programa\McAfee\MBK\McAfeeDataBackup.exe
O4 - HKLM\..\Run: [MBkLogOnHook] C:\Archivos de programa\McAfee\MBK\LogOnHook.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: RC.exe.lnk = C:\Archivos de programa\DVB-USB\DVB-USB Terrestrial\RC.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Archivos de programa\VIA\RAID\raid_tool.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Archivos de programa\SiteAdvisor\6009\SiteAdv.dll
O20 - AppInit_DLLs: c:\windows\system32\ldcore.dll
O21 - SSODL: Internet Explorer - {F28A40D7-AD0E-034A-C651-5F0ED76232E6} - (no file)
O23 - Service: McAfee Application Installer Cleanup (0092251170420686) (0092251170420686mcinstcleanup) - McAfee, Inc. - C:\WINDOWS\TEMP\009225~1.EXE
O23 - Service: Administrador AVSync (AvSynMgr) - Network Associates, Inc. - C:\Archivos de programa\McAfee\McAfee VirusScan\Avsynmgr.exe
O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Archivos de programa\Archivos comunes\McAfee\HackerWatch\HWAPI.exe
O23 - Service: McAfee AntiSpyware Real-Time Scanner (McAfeeAntiSpyware) - Network Associates, Inc. - C:\Archivos de programa\McAfee\McAfee AntiSpyware\Msssrv.exe
O23 - Service: McAfee Log Manager (McLogManagerService) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mclogsrv.exe
O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcupdmgr.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcpromgr.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\ARCHIV~1\ARCHIV~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\ARCHIV~1\ARCHIV~1\mcafee\redirsvc\redirsvc.exe
O23 - Service: McAfee Task Scheduler (mctskshd.exe) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mctskshd.exe
O23 - Service: McAfee User Manager (mcusrmgr) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcusrmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Archivos de programa\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Privacy Service (MPS9) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MPS\mps.exe
O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee Inc. - C:\Archivos de programa\McAfee\MSK\MskSrver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Archivos de programa\SiteAdvisor\6009\SAService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

¿que me queda por limpiar?¿intento "fix checked" denuevo a la entrada 020 ahora que el fichero ldcore.dll ya ha sido eliminado? Ahh y una duda ... encontre buscando por el ordenador que hay 2 ficheros:
c:\windows\system32\dlh9jkd1q8.exe ---> de 0k
c:\windows\system32\ldinfo.ldr ---> que contiene:
1_118 http://www.affiliates.topinstalls.com/files/programs/DXC8.exe
1_111 http://www.affiliates.topinstalls.com/files/programs/jpg_viewer.exe
1_98 http://www.affiliates.topinstalls.com/files/programs/dvvln2MBxL.exe
1_73 http://www.affiliates.topinstalls.com/files/programs/webnexuscheck.exe
1_92 http://traffstats.biz/adv/083/win32.exe

que tienen la misma fecha de creacion que el ldcore.dll y que algunos de los virus limpiados ¿debo eliminar estos archivos?

Gracias, por la ayuda prestada.
Espero su respuesta.

Un saludo.

post #4

02/02/07, 15:09:28

Acron_0248 Acron_0248 está offline

Moderador

Registrado: jul 2005

Ubicación: 127.0.0.1

Mensajes: 10.006

Re: creo que tengo el "sysmon"

A ver....

Sobre tu pregunta, si, borra estos dos archivos:

c:\windows\system32\dlh9jkd1q8.exe

c:\windows\system32\ldinfo.ldr

Prueba darle fix a la entrada O20 del ldcore.dll a ver si no muestra error esta vez y me cuentas que tal te va

Salu2

Linux User #399288 != 1337 || Ub3|2

post #5

02/02/07, 15:29:46

Inork

Usuario

Registrado: ene 2007

Ubicación: España

Mensajes: 13

Re: creo que tengo el "sysmon"

Buenas Acron_0248

Elimine los archivo que me dijiste, y vollvi a intentar darle Fix a la entrada 020 con el HJT, pero volvio a dar el mismo error; aunque despues he reiniciado y la entrada ha desaparecido. Aun asi te pongo el log del HJT:

Logfile of HijackThis v1.99.1
Scan saved at 20:21:46, on 02/02/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Archivos de programa\Archivos comunes\McAfee\HackerWatch\HWAPI.exe
C:\Archivos de programa\McAfee\McAfee AntiSpyware\Msssrv.exe
C:\ARCHIV~1\McAfee\MSC\mclogsrv.exe
C:\ARCHIV~1\McAfee\MSC\mcupdmgr.exe
C:\Archivos de programa\McAfee\McAfee VirusScan\VsStat.exe
c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe
C:\ARCHIV~1\McAfee\MSC\mcpromgr.exe
c:\ARCHIV~1\ARCHIV~1\mcafee\mcproxy\mcproxy.exe
c:\ARCHIV~1\ARCHIV~1\mcafee\redirsvc\redirsvc.exe
C:\ARCHIV~1\McAfee\MSC\mctskshd.exe
C:\ARCHIV~1\McAfee\MSC\mcusrmgr.exe
C:\Archivos de programa\McAfee\MPF\MPFSrv.exe
C:\ARCHIV~1\McAfee\MPS\mps.exe
C:\Archivos de programa\McAfee\MSK\MskSrver.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\SiteAdvisor\6009\SAService.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\McAfee\McAfee VirusScan\Webscanx.exe
C:\Archivos de programa\McAfee\McAfee VirusScan\Avconsol.exe
C:\Archivos de programa\McAfee\MPS\mpsevh.exe
C:\WINDOWS\Explorer.EXE
C:\ARCHIV~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\McAfee\McAfee VirusScan\alogserv.exe
C:\WINDOWS\System32\RunDLL32.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd.exe
C:\Archivos de programa\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Telefonica\bin\sprtcmd.exe
C:\Archivos de programa\McAfee\McAfee AntiSpyware\MssCli.exe
C:\Archivos de programa\McAfee\MSK\MskAgent.exe
C:\Archivos de programa\SiteAdvisor\6009\SiteAdv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\McAfee\MBK\McAfeeDataBackup.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\VIA\RAID\raid_tool.exe
C:\Archivos de programa\DVB-USB\DVB-USB Terrestrial\RC.exe
c:\archivos de programa\mcafee\msc\mcuimgr.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F3 - REG:win.ini: load= C:\BC5\PIPELINE\remind.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\6009\SiteAdv.dll
O2 - BHO: McAfee Popup Blocker - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - c:\archivos de programa\mcafee\mps\mcpopup.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\6009\SiteAdv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Alogserv] C:\Archivos de programa\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [Babylon Client] C:\Archivos de programa\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Archivos de programa\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Telefonica] "C:\Archivos de programa\Telefonica\bin\sprtcmd.exe" /P Telefonica
O4 - HKLM\..\Run: [_AntiSpyware] C:\Archivos de programa\McAfee\McAfee AntiSpyware\MssCli.exe
O4 - HKLM\..\Run: [MskAgentexe] C:\Archivos de programa\McAfee\MSK\MskAgent.exe
O4 - HKLM\..\Run: [SiteAdvisor] C:\Archivos de programa\SiteAdvisor\6009\SiteAdv.exe
O4 - HKLM\..\Run: [McAfee Backup] C:\Archivos de programa\McAfee\MBK\McAfeeDataBackup.exe
O4 - HKLM\..\Run: [MBkLogOnHook] C:\Archivos de programa\McAfee\MBK\LogOnHook.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: RC.exe.lnk = C:\Archivos de programa\DVB-USB\DVB-USB Terrestrial\RC.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Archivos de programa\VIA\RAID\raid_tool.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Archivos de programa\SiteAdvisor\6009\SiteAdv.dll
O21 - SSODL: Internet Explorer - {F28A40D7-AD0E-034A-C651-5F0ED76232E6} - (no file)
O23 - Service: Administrador AVSync (AvSynMgr) - Network Associates, Inc. - C:\Archivos de programa\McAfee\McAfee VirusScan\Avsynmgr.exe
O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Archivos de programa\Archivos comunes\McAfee\HackerWatch\HWAPI.exe
O23 - Service: McAfee AntiSpyware Real-Time Scanner (McAfeeAntiSpyware) - Network Associates, Inc. - C:\Archivos de programa\McAfee\McAfee AntiSpyware\Msssrv.exe
O23 - Service: McAfee Log Manager (McLogManagerService) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mclogsrv.exe
O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcupdmgr.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcpromgr.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\ARCHIV~1\ARCHIV~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\ARCHIV~1\ARCHIV~1\mcafee\redirsvc\redirsvc.exe
O23 - Service: McAfee Task Scheduler (mctskshd.exe) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mctskshd.exe
O23 - Service: McAfee User Manager (mcusrmgr) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcusrmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Archivos de programa\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Privacy Service (MPS9) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MPS\mps.exe
O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee Inc. - C:\Archivos de programa\McAfee\MSK\MskSrver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Archivos de programa\SiteAdvisor\6009\SAService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

¿esta limpio?
¿la entrada 021 es normal?
¿me queda algo por hacer?

Gracias,
Un saludo.

post #6

02/02/07, 15:34:06

Acron_0248 Acron_0248 está offline

Moderador

Registrado: jul 2005

Ubicación: 127.0.0.1

Mensajes: 10.006

Re: creo que tengo el "sysmon"

El log si está limpio

La entrada O21 es mas bien un residuo de algo que alguna vez estuvo en tu sistema (una infección) así que dale fix a esa entrada:

O21 - SSODL: Internet Explorer - {F28A40D7-AD0E-034A-C651-5F0ED76232E6} - (no file)

De quedar algo mas por hacer depende de tí, si tu sistema ya va bien y no genera problemas, entonces no hay nada mas por hacer

Me cuentas de todos modos

Salu2

Linux User #399288 != 1337 || Ub3|2

post #7

02/02/07, 16:05:41

Inork

Usuario

Registrado: ene 2007

Ubicación: España

Mensajes: 13

Re: creo que tengo el "sysmon"

Buenas Acron_0248

Tras darle Fix a la entrada 021, he hecho un DiskCleaner y RegSeeker para dejar todo bien.... como el log del HJT es igual que el anterior pero sin la entrada 021 y no tengo ningun otro problema, creo que todo esta ya solucionado.

Salvo algun otro comentario, por mi parte el tema esta solucionado y se puede finalizar el post.

Te doy las gracias por la ayuda prestada para la limpieza

Un saludo y gracias.

« Tema Anterior | Próximo Tema »

Herramientas
Mostrar Versión Imprimible Enviar por Correo

Reglas del foro
No puedes crear nuevos temas No puedes responder temas No puedes subir adjuntos No puedes editar tus mensajes BB code is activado Las caritas están activado Código [IMG] está activado Código HTML está desactivado Trackbacks are desactivado Pingbacks are activado Refbacks are activado Políticas del foro

Temas Similares

Tema	Autor	Foro	Respuestas	Último mensaje
Ayuda.. creo ke tengo un Troyano o màs =( (Solucionado)	volcom!^^	Temas Solucionados	8	26/06/06 23:59:27
podeis revisar mi log? creo tengo spyware! (Solucionado)	silbitta	Temas Solucionados	2	20/06/06 15:02:34
Creo que tengo problemas con SpySheriff y CommandServices (Solucionado)	oibarra	Temas Solucionados	5	10/02/06 11:38:42
SOS, creo que tengo de todo! (Solucionado)	pepelope50	Temas Solucionados	9	01/02/06 13:55:40
creo que tengo malware en mi pc, ayuda. (solucionado)	ebp0305	Temas Solucionados	5	27/08/05 21:56:13

Todas las horas son GMT -4. La hora es 15:27:17.

InfoSpyware es miembro de ASAP - Alliance of Security Analysis Professionals

Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus