segui el procedimiento para sacar el antivermins, baje los tres programas (aunque no use el spy sweeper, ocupe el ad adware, porq el spy solo lo encontre en una version q me dejaba solo escanear), pero el globo de system alert aun molesta, aunque el malware se metio hace menos de 24 horas el cpu esta cada vez mas lento.....por fa ayuda porq hay mucha informacion q no puedo perder

aqui va el registro de hijacks
de antemano gracias!!!!!!!!


Logfile of HijackThis v1.99.1
Scan saved at 16:28:29, on 04-02-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
c:\Apps\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Archivos de programa\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Archivos de programa\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe
C:\ARCHIV~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe
C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\Archivos de programa\Lexmark X1100 Series\lxbkbmon.exe
C:\Archivos de programa\Ares\Ares.exe
C:\Archivos de programa\Archivos comunes\Teleca Shared\CapabilityManager.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
c:\Apps\Powercinema\Kernel\TV\CLSched.exe
C:\ARCHIV~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\WINDOWS\System32\alg.exe
C:\Archivos de programa\Archivos comunes\Teleca Shared\Generic.exe
C:\Archivos de programa\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\msiexec.exe
C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE
C:\Archivos de programa\Webroot\Spy Sweeper\SSU.EXE
C:\Archivos de programa\Spyware Doctor\sdhelp.exe
C:\Archivos de programa\Spyware Doctor\swdoctor.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - (no file)
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\McAgent.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Archivos de programa\Spyware Doctor\swdoctor.exe" /Q
O8 - Extra context menu item: Download Link Using Mega Manager... - C:\Archivos de programa\Megaupload\Mega Manager\mm_file.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1169590789861
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4AC0A29C-63BD-40AE-B493-6F4FB435E167}: NameServer = 200.28.4.129 200.28.4.130
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: exemplars - {2acf3add-34a1-4f2f-99cf-cc69785d1e90} - C:\WINDOWS\system32\cwgppb.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\Apps\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\Apps\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Archivos de programa\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\ARCHIV~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Archivos de programa\Spyware Doctor\sdhelp.exe
O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

Hola coulis69,Bienvenido a Infospyware.



Comprueba en el Centro de descarga si tienes todos los parches instalados.


Descarga la herramienta DelPSGuard (La última versión) y descomprímela en el escritorio de Windows pero no la ejecutes aún.

Realiza todos los pasos sin saltarte ninguno,por favor.

Apaga tu ruter/moden y desconecta el cable de tf. de la torre.

Ver archivos ocultos en todos los Windows

Apagar Restaurar Sistema (Systema Restore)

Reinicia el PC en Modo a prueba de fallos


Ves al Panel de Control/ Agregar o Quitar Programas y desinstalas estos programas si existen:


AdwareDelete
AdwareSheriff
AlfaCleaner
Antispyware Soldier
AntivirusGold
AntivirusGolden
Antivirus-Golden
AntiVermins
AntiVerminser
BraveSentry
Brain Codec
Daily Weather Forecast
Key Generator
MalwareWipe
MalwareWiped
MalwareWiper
Malware-Wipe
My Pass Generator
MyWebSearch
PestCapture
PestCapture
PestTrap
PECarlin
PornMag Pass
PornPass Manager
PSGuard
P.S.Guard
Registry Cleaner
Save
Safety Alerter 2006
Safety Bar
Search Maid
Security IGuard
Security Toolbar
SpyAxe
SpyGuard
SpyFalcon
Spy-Heal
SpyHeal
SpySheriff
SpyKiller
SpyQuake2.com
SpywareQuake
SpywareQuake.com
SpywareSheriff
SpywareStrike
SpywareHeal
SystemDoctor 2006 Free
Spyware Soft Stop
TitanShield Antispyware
Trust Cleaner
TrustIn Bar
TrustIn Contextual
TrustIn Popups
vb
VSAdd-in
Virtual Maid
VirusBlast
Virus-Burst
VirusBurst
VirusBurster
VirusBursters
Virus-Bursters
VideoAccess
WinHound
WinAntiVirus Pro 2006








Ejecuta el hijackthis y con todos lo programas cerrados marca las siguientes entradas y pulsa en FIX Checked:


O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - (no file)
O21 - SSODL: exemplars - {2acf3add-34a1-4f2f-99cf-cc69785d1e90} - C:\WINDOWS\system32\cwgppb.dll


Ejecuta ahora el DelPSGuard (La última versión) y sigue las instrucciones del programa.

Y pones el reporte que te genere el DelPSGuard,tanto si te eliminó todo o te quedó
algun archivo para su eliminación,antes de pasar el killbox (lo puedes copiar a un Bloc de notas para luego pegarlo aquí)



Sin reiniciar,busca y elimina estos archivos/carpetas.Utiliza el KillBox si no puedes eliminarlos.

Le vas poniendo que NO a reiniciar hasta que pongas el ultimo y ahi le pones que SI para que reinicie y elimine estos archivos infectados.

C:\WINDOWS\system32\cwgppb.dll


Elimina todas las cuarentenas que tengas y vacía la papelera.



Pasa estas herramientas:

Ad-Aware 1.06 SE Personal

Disk Cleaner para limpiar cookis y temporales

RegSeeker para limpiar el registro,pásalo varias veces hasta que ya no te salga nada.

Instálate el SpywareBlaster 3.5+manual


Reactiva la opción de restaurar el sistema,reinicias y te conectas a la red.

Y le pasas 2 antivirus online, el AVG/ Ewido Anti Spyware y el Kaspersky,por este orden y si hay algo que no te eliminen lo pones aquí con su ruta completa.

Pones otro log para ver como esta todo y nos cuentas los resultados.

*Si tienes alguna duda,te puedes imprimir las instrucciones.

hola y muchas gracias por responder!!!1

pero al final pude solucionar el problema: despues de q hice el post me puse a hurguetear hasta q me di cuenta de q no era necesario q el spy sweeper sacara los troyanos, solo me tenia q decir q archivos estaban infectados para despues borrarlos con el hijacks this, y despues que volvi al modo de windows normal , ya habia desaparecido el icono y el cpu ya habia recuperado su velocidad.
y justamente esas dos entradas q nombraste eran las q spy sweeper me decia q estban infectadas.

igual voy hacer correr los programas q me dijiste por si las moscas

mil gracias