Hola!!
Primero que nada quería contarles que tengo el nord32 de antivirus y que lo acabo de pasar y me sale como que no hubiese ningun virus en la computadora. Cuando le pase el kaspersky me aparecio que habia por los menos 1 virus asi que lo deje funcionando hasta que terminara. Cuando volvi a la maquina, se me congelo y lo unico que se es que habia archivos infectados pero no pude saber cuales. Le voy a volver a pasar el kaspersky asi se, pero mientras me gustaria dejar mi log de hijack a ver si ven algo inusual.
Desde ya gracias por todo!!

C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\DU Meter\DUMeter.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\Labtec\Desktop\V5.1\kbdap32a.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\LimeWire\LimeWire.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [DU Meter] C:\Archivos de programa\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Archivos de programa\Labtec\Desktop\V5.1\moffice.exe
O4 - HKLM\..\Run: [OFFICEKB] C:\Archivos de programa\Labtec\Desktop\V5.1\kbdap32a.exe
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\system32\ekaovqhq.dll",setvm
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\bgrhxphp.dll
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe


__________________________________________________ ______________
acabo de volver a pasar kaspersky aca esta el log
lunes, 05 de febrero de 2007 23:13:16
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.0
Ultima actualización: 6/02/2007
Registros en la base antivirus: 250375


Configuración del análisis
Analizar usando las siguientes bases standard
Analizar archivos verdadero
Analizar bases de correo verdadero

Objetivo a analizar Mi PC
A:\
C:\
D:\
E:\
F:\
G:\
H:\

Estadísticas
Número de objeros analizados 24091
Virus encontrados 2
Objetos infectados 7 / 0
Objetos sospechosos 0
Duración del análisis 01:52:57

Bombre del objeto infectado Nombre del virus Última acción
C:\Archivos de programa\Eset\cache\CACHE.NDB Object is locked saltado

C:\Archivos de programa\Eset\infected\223IANDA.NQF Infectados: P2P-Worm.Win32.VB.dw saltado

C:\Archivos de programa\Eset\logs\virlog.dat Object is locked saltado

C:\Archivos de programa\Eset\logs\warnlog.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\Marianela\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Marianela\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Marianela\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Marianela\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Marianela\Configuración local\Historial\History.IE5\MSHist0120070205200702 06\index.dat Object is locked saltado

C:\Documents and Settings\Marianela\Configuración local\Temp\bavcocgd.dll Infectados: Trojan.Win32.BHO.g saltado

C:\Documents and Settings\Marianela\Configuración local\Temp\bohdvaqf.dll Infectados: Trojan.Win32.BHO.g saltado

C:\Documents and Settings\Marianela\Configuración local\Temp\ewinmggh.dll Infectados: Trojan.Win32.BHO.g saltado

C:\Documents and Settings\Marianela\Configuración local\Temp\glyigkgn.dll Infectados: Trojan.Win32.BHO.g saltado

C:\Documents and Settings\Marianela\Configuración local\Temp\lvgaqrje.dll Infectados: Trojan.Win32.BHO.g saltado

C:\Documents and Settings\Marianela\Configuración local\Temp\pqdysrqb.dll Infectados: Trojan.Win32.BHO.g saltado

C:\Documents and Settings\Marianela\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Marianela\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\Marianela\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\config\systemprofile\Configura ción local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\WINDOWS\system32\config\systemprofile\Configura ción local\Historial\History.IE5\index.dat Object is locked saltado

C:\WINDOWS\system32\config\systemprofile\Cookies\i ndex.dat Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

Análisis completado.

Hola , te doy la bienvenida al Foro de InfoSpyware

Ya que tu log de HijackThis tiene unos días y puede haber cambios seguir primero estos pasos y luego generas un nuevo log y lo pegas en este mismo mensaje.

Usa el Disk Cleaner para limpiar cookies y temporales y RegSeeker para limpiar el registro de Win.

Descarga, actualiza y ejecuta AVG Antispyware 7.5

Realiza un escaneo online con "Panda ActiveScan Online" y nos dejas sus reportes en este mismo mensaje.

Salu2
*

Aca te dejo el nuevo log. Le pase el regseeker en el modo a prueba de fallos y el disk cleaner, pero en el regs habian 3 registros que le daba borrar y no se borran. Le pase el programa muchas veces y siempre me qudaban los mismos 3.


Logfile of HijackThis v1.99.1
Scan saved at 11:38:21 a.m., on 07/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [DU Meter] C:\Archivos de programa\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Archivos de programa\Labtec\Desktop\V5.1\moffice.exe
O4 - HKLM\..\Run: [OFFICEKB] C:\Archivos de programa\Labtec\Desktop\V5.1\kbdap32a.exe
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\system32\rjfftinn.dll",setvm
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\bgrhxphp.dll
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

Hola Poker87,

Paso 1- Apaga el "Restaurar Sistema"

Paso 2- Descarga estas herramientas pero no las ejecutes aun:

• VundoFix.exe
• Dr. WEB CURE-IT

Paso 3- Con todos los programas cerrados ejecuta el HijackThis y dale a estas entradas:


O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\system32\rjfftinn.dll",setvm

O20 - AppInit_DLLs: C:\WINDOWS\system32\bgrhxphp.dll


Paso 4- Sin reiniciar con el programa "FileASSASSIN" elimina estos archivos:


C:\WINDOWS\system32\rjfftinn.dll
C:\WINDOWS\system32\bgrhxphp.dll



Paso 5- Reinicia eh inicia en "Modo a prueba de fallos" (modo seguro)

Paso 6- Ejecuta estas herramientas, de a una:

• VundoFix.exe
• Dr. WEB CURE-IT

Paso 7- Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Paso 8- Reinicia y hacele un escaneo online con "Panda ActiveScan Online"

Reinicia y nos contas los resultados.

Salu2

Virus REBELDE!!
Pase el hijack this y cuando le doy fix checked a
020 - AppInit_DLLs: C:\WINDOWS\system32\bgrhxphp.dll, no me permite arreglarlo, me dice q hay un error y me lo deja igual. Cuando trate de borrarlo con el fileassasin me dice tmb q no se puede eliminar el archivo.
Que hago???

Proba de hacer todos los pasos directamente en modo a prueba de fallos ejecutando primero las dos herramientas recomendadas y luego con HJT.

Salu2

Perdona que moleste tanto pero no puedo sacarlo ...ya probe todas las herramientas en el modo a prueba de fallos, pero nada, es màs, el programa vundo fix encontro 2 entradas y cuando le pongo para q las elimiine me dice q hay un problema y no me deja.
te pego el log de hijackthis...no se q mas hacer
Logfile of HijackThis v1.99.1
Scan saved at 09:09:52 p.m., on 07/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\DU Meter\DUMeter.exe
C:\Archivos de programa\Labtec\Desktop\V5.1\moffice.exe
C:\Archivos de programa\Labtec\Desktop\V5.1\kbdap32a.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Archivos de programa\Labtec\Desktop\V5.1\MOUSE32A.EXE
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [DU Meter] C:\Archivos de programa\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Archivos de programa\Labtec\Desktop\V5.1\moffice.exe
O4 - HKLM\..\Run: [OFFICEKB] C:\Archivos de programa\Labtec\Desktop\V5.1\kbdap32a.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\system32\fiumxwbw.dll",setvm
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\bgrhxphp.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe


los archivos de vundo que no me deja borrar son:
c:\windows\cursors\msvcmp3.dll
C:\WINDOWS\system32\scwpgkvx.dll

los archivos q encontro el drweb son:
c:\windows\cursors\msvcmp3.dll
c:\windows\system\regtapi.dll
(supuestamente me pone que cuando se reinicie se borran pero cuando reinicio y lo vuelvo a pasar siguen saliendo)

Hola, descarga y ejecuta la herramienta ComboFix.exe y nos pegas el informe en este mismo mensaje junto con uno de Panda y Kaspersky online.

Y en lugar de Spy Sweeper usa el AVG Antispyware.

Salu2

jueves, 08 de febrero de 2007 21:27:47
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.0
Ultima actualización: 8/02/2007
Registros en la base antivirus: 251240


Configuración del análisis
Analizar usando las siguientes bases standard
Analizar archivos verdadero
Analizar bases de correo verdadero

Objetivo a analizar Mi PC
A:\
C:\
D:\
E:\
F:\
G:\
H:\

Estadísticas
Número de objeros analizados 24631
Virus encontrados 2
Objetos infectados 2 / 0
Objetos sospechosos 0
Duración del análisis 01:21:45

Bombre del objeto infectado Nombre del virus Última acción
C:\Archivos de programa\Eset\cache\CACHE.NDB Object is locked saltado

C:\Archivos de programa\Eset\infected\223IANDA.NQF Infectados: P2P-Worm.Win32.VB.dw saltado

C:\Archivos de programa\Eset\infected\STEBEGAA.NQF Infectados: Trojan.Win32.BHO.g saltado

C:\Archivos de programa\Eset\logs\virlog.dat Object is locked saltado

C:\Archivos de programa\Eset\logs\warnlog.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\Marianela\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Marianela\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Marianela\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Marianela\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Marianela\Configuración local\Historial\History.IE5\MSHist0120070208200702 09\index.dat Object is locked saltado

C:\Documents and Settings\Marianela\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Marianela\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\Marianela\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\Tasks\SCHEDLGU.TXT Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

Análisis completado.

"Marianela" - 07-02-08 18:43:52 Service Pack 2
ComboFix 07-02-07 - Running from: "C:\Documents and Settings\Marianela\Escritorio"

((((((((((((((((((((((((((((((( Files Created from 2007-01-08 to 2007-02-08 ))))))))))))))))))))))))))))))))))


2007-02-08 10:06 262,144 --a------ C:\DOCUME~1\ALLUSE~1\ntuser.dat
2007-02-07 22:58 33,280 --a------ C:\WINDOWS\system32\rundll32.exe
2007-02-07 21:12 <DIR> d-------- C:\DOCUME~1\MARIAN~1\DoctorWeb
2007-02-07 20:20 <DIR> d-------- C:\Archivos de programa\Yahoo!
2007-02-07 20:20 <DIR> d-------- C:\Archivos de programa\CCleaner
2007-02-07 20:14 <DIR> d-------- C:\DOCUME~1\ADMINI~1\DoctorWeb
2007-02-07 20:12 524,288 --ah----- C:\DOCUME~1\ADMINI~1\NTUSER.DAT
2007-02-07 20:12 <DIR> dr-h----- C:\DOCUME~1\ADMINI~1\Datos de programa
2007-02-07 20:12 <DIR> dr------- C:\DOCUME~1\ADMINI~1\Men£ Inicio
2007-02-07 20:12 <DIR> d--h----- C:\DOCUME~1\ADMINI~1\Plantillas
2007-02-07 20:12 <DIR> d--h----- C:\DOCUME~1\ADMINI~1\Impresoras
2007-02-07 20:12 <DIR> d--h----- C:\DOCUME~1\ADMINI~1\Entorno de red
2007-02-07 20:12 <DIR> d--h----- C:\DOCUME~1\ADMINI~1\Configuraci¢n local
2007-02-07 20:12 <DIR> d-------- C:\DOCUME~1\ADMINI~1\Mis documentos
2007-02-07 20:12 <DIR> d-------- C:\DOCUME~1\ADMINI~1\Favoritos
2007-02-07 20:12 <DIR> d-------- C:\DOCUME~1\ADMINI~1\Escritorio
2007-02-07 19:49 <DIR> d-------- C:\VundoFix Backups
2007-02-07 17:56 <DIR> d-------- C:\Archivos de programa\FileASSASSIN
2007-02-07 11:52 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2007-02-07 11:42 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-02-07 11:41 <DIR> d-------- C:\Archivos de programa\Grisoft
2007-02-07 11:37 <DIR> d-------- C:\Archivos de programa\HJT
2007-02-06 16:06 <DIR> d--hs---- C:\WINDOWS\CSC
2007-02-05 21:53 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\Datos de programa\Spybot - Search & Destroy
2007-02-05 20:25 124,180 --a------ C:\WINDOWS\system32\bnrvyxwt.dll
2007-02-05 16:12 <DIR> d-------- C:\Archivos de programa\Disk Cleaner
2007-02-04 21:50 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-02-02 13:38 124,180 --a------ C:\WINDOWS\system32\cceaejns.dll
2007-01-28 21:23 124,180 --a------ C:\WINDOWS\system32\fkbtffua.dll
2007-01-14 09:39 124,180 --a------ C:\WINDOWS\system32\fetgdmav.dll
2007-01-11 14:00 124,180 --a------ C:\WINDOWS\system32\gtehgvdl.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) )))


2007-02-08 18:31 5148 --ahs---- C:\DOCUME~1\MARIAN~1\Datos de programa\60be959464494d7f9d2348b192671dfb.sta
2007-02-08 18:31 27586 --ahs---- C:\DOCUME~1\MARIAN~1\Datos de programa\60be959464494d7f9d2348b192671dfb.rul
2007-02-08 14:50 -------- d-------- C:\Archivos de programa\mozilla firefox
2007-02-07 23:33 2296 --a------ C:\WINDOWS\system32\d3d9caps.dat
2007-02-05 21:12 -------- d-------- C:\DOCUME~1\MARIAN~1\Datos de programa\limewire
2007-01-29 23:03 -------- d-------- C:\Archivos de programa\limewire
2006-12-21 16:28 -------- d-------- C:\Archivos de programa\msn messenger
2006-12-21 16:28 -------- d-------- C:\Archivos de programa\messenger plus! live
2006-12-18 19:23 47 --a------ C:\WINDOWS\system32\imon1.dat
2006-12-07 17:02 2174976 --a------ C:\WINDOWS\system32\wmvcore.dll
2006-11-10 18:55 393 --a------ C:\WINDOWS\ereg077.dat
2006-11-08 02:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run]
"MSMSGS"="\"C:\\Archivos de programa\\Messenger\\msmsgs.exe\" /background"
"msnmsgr"="\"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe\" /background"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.ex e"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run]
"nod32kui"="\"C:\\Archivos de programa\\Eset\\nod32kui.exe\" /WAITSERVICE"
"DU Meter"="C:\\Archivos de programa\\DU Meter\\DUMeter.exe"
"SunJavaUpdateSched"="C:\\Archivos de programa\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroChec k.exe"
"FLMOFFICE4DMOUSE"="C:\\Archivos de programa\\Labtec\\Desktop\\V5.1\\moffice.exe"
"OFFICEKB"="C:\\Archivos de programa\\Labtec\\Desktop\\V5.1\\kbdap32a.exe"
"!AVG Anti-Spyware"="\"C:\\Archivos de programa\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"appinit_dlls"="C:\WINDOWS\system32\bgrhxphp.d ll"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\msvcmp3
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\regtapi

[HKEY_LOCAL_MACHINE\system\currentcontrolset\contro l\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnph ost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
Usnsvc REG_MULTI_SZ usnsvc\0\0



************************************************** ******************

catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

************************************************** ******************

Completion time: 07-02-08 18:53:16
C:\ComboFix2.txt ... 07-02-08 15:00


el panda antivirus no me detecto nada por eso no lo pegue.
gracias!!

Bien busca estos archivos y hacelos analizar online usando Virus-Total y nos dejas los resultados en este mismo post.

C:\WINDOWS\system32\cceaejns.dll
C:\WINDOWS\system32\fkbtffua.dll
C:\WINDOWS\system32\fetgdmav.dll
C:\WINDOWS\system32\gtehgvdl.dll

Salu2