Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

hola a ver si alguien me echa una mano y me ayuda a eliminar a este bicho se me ha colado en dos ordenadores que tengo conectados en linea, y a pesar de que pasee varias veces el ad wawre asi como el spybot y el nod 32 tanto en modo normal como en modo ap rueba de fallos no consigo acabar con el

en principio me crea un archivo setup.exe en diferentes lugares del ordenador,los elimino y nada, al poco otra vez pantalla roja del nod 32 que lo detecta con el nombre que os puse mas arriba os pego el log a ver si me podeis echar una mano

gracias


Logfile of HijackThis v1.99.1
Scan saved at 23:21:52, on 27/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9 BE.EXE
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.546 2\GoogleToolbarNotifier.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Java\jre1.5.0_10\bin\jucheck.exe
C:\Archivos de programa\eMule\eMule.exe
C:\Archivos de programa\Azureus\Azureus.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Archivos de programa\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9 BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RealTray] C:\Archivos de programa\K-Lite Codec Pack\Media Player Classic\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [igndlm.exe] C:\Archivos de programa\IGN\Download Manager\DLM.exe /windowsstart /startifwork
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.546 2\GoogleToolbarNotifier.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.2.100.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://peyespacium.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www1.aeat.es/imagenes/comun/cactivex.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

Hola crucify,

El log de HJT esta limpio, por lo que hace:

Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Descarga, actualiza y ejecuta

• AVG Antispyware 7.5
• SuperAntiSpyware

Realiza un escaneo online con "Panda ActiveScan Online" y nos dejas sus reportes en este mismo mensaje.

Salu2

ok muchas gracias vamos a probar a ver que tal

perdon una cosa es necesario que lo haga en modo a prueba de errores o desconecte los dos ordenadores que tengo en red o desconectarlos de internet? de momento lo he hecho sin desconectar nada y en breve posteo los resultados

resultados despues del escaneo con los anti spywares, usado el cc cleaner y pasado el panda online el unico que encontro algo fue el panda online

Incidencia Estado Elemento

Spyware:Cookie/Atlas DMT No desinfect



eso me salio ahora que debo hacer???

Hola, nada ya que las cookies no tienen importancia.

Confirmanos como esta funcionado tu sistema para dar el tema por terminado.

Salu2

nada no se consigue eliiinar no obstante este troyano sigue activo cada vez mas casi si me apuras os pongo aqui debajouna copia del registro de amenazas del nod 32 a ver si sirve de algo



Hora Módulo Objeto Nombre Amenaza Acción predeterminada Usuario Información
06/03/2007 13:45:24 AMON Archivo C:\Documents and Settings\All Users\Documentos\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
06/03/2007 13:45:23 AMON Archivo C:\Downloads\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
06/03/2007 13:45:22 AMON Archivo C:\Documents and Settings\User\Mis documentos\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
06/03/2007 13:17:34 AMON Archivo C:\Documents and Settings\All Users\Documentos\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
06/03/2007 13:17:34 AMON Archivo C:\Downloads\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
06/03/2007 13:17:33 AMON Archivo C:\Documents and Settings\User\Mis documentos\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
06/03/2007 11:26:33 AMON Archivo C:\Documents and Settings\All Users\Documentos\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
06/03/2007 11:26:32 AMON Archivo C:\Downloads\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
06/03/2007 11:26:30 AMON Archivo C:\Documents and Settings\User\Mis documentos\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
06/03/2007 10:53:04 AMON Archivo C:\Documents and Settings\All Users\Documentos\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
06/03/2007 10:53:04 AMON Archivo C:\Downloads\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
06/03/2007 10:53:03 AMON Archivo C:\Documents and Settings\User\Mis documentos\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
06/03/2007 9:58:51 AMON Archivo C:\Documents and Settings\All Users\Documentos\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
06/03/2007 9:58:50 AMON Archivo C:\Downloads\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
06/03/2007 9:58:49 AMON Archivo C:\Documents and Settings\User\Mis documentos\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
06/03/2007 3:59:42 AMON Archivo C:\Documents and Settings\All Users\Documentos\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
06/03/2007 3:55:50 AMON Archivo C:\Downloads\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
06/03/2007 3:55:31 AMON Archivo C:\Documents and Settings\User\Mis documentos\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
06/03/2007 1:32:51 AMON Archivo C:\Documents and Settings\All Users\Documentos\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
06/03/2007 1:32:50 AMON Archivo C:\Downloads\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
06/03/2007 1:32:50 AMON Archivo C:\Documents and Settings\User\Mis documentos\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
05/03/2007 22:53:40 AMON Archivo C:\Documents and Settings\All Users\Documentos\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
05/03/2007 22:53:40 AMON Archivo C:\Downloads\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
05/03/2007 22:53:39 AMON Archivo C:\Documents and Settings\User\Mis documentos\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
05/03/2007 15:44:15 AMON Archivo C:\Documents and Settings\All Users\Documentos\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
05/03/2007 15:44:14 AMON Archivo C:\Downloads\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
05/03/2007 15:44:14 AMON Archivo C:\Documents and Settings\User\Mis documentos\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
05/03/2007 14:55:36 AMON Archivo C:\Documents and Settings\All Users\Documentos\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
05/03/2007 14:55:36 AMON Archivo C:\Downloads\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
05/03/2007 14:55:35 AMON Archivo C:\Documents and Settings\User\Mis documentos\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
05/03/2007 13:35:33 AMON Archivo C:\Documents and Settings\All Users\Documentos\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
05/03/2007 13:35:33 AMON Archivo C:\Downloads\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
05/03/2007 13:35:32 AMON Archivo C:\Documents and Settings\User\Mis documentos\setup.exe Win32/Medbot.HF (Troyano) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
04/03/2007 6:36:50 AMON Archivo C:\Downloads\SUPERAntiSpyware.exe Win32/Tenga.gen (Virus) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
04/03/2007 6:36:50 AMON Archivo C:\Downloads\ccsetup137.exe Win32/Tenga.gen (Virus) Puesto en cuarentena - Eliminado NT AUTHORITY\SYSTEM Suceso ocurrido al crear un nuevo archivo. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.






a alguien se le ocurre algo para eliminar este bicho?

pruebo a hacer todo lo anterior en modo a prueba de errores????
alguna idea?????

Hola, descarga la herramienta SDFix y guardala y descomprimila en tu escritorio pero no la ejecutes aun.

Reinicia eh inicia en "Modo a prueba de fallos" (modo seguro)

(Es posible que el antivirus que tengas instalado te advierta de una infección en esta herramienta, es debido al tipo de código pero no te preocupes por ello, permite el paso de la herramienta)

Ejecuta dicha herramienta en el escritorio, se creará una nueva carpeta en el escritorio, entra en dicha carpeta y ejecuta el archivo "Runthis.bat" luego, presiona la tecla "Y" para que comience el chequeo, al terminar, se creará un archivo dentro de la carpeta llamado Report.txt, copia y pega lo que indique ese reporte acá.

Salu2

hecho perdonad la tardanza pero me ausente unos dias y no pude mirar el ordenador aqui os dejo el log una cosa mas comenta ya una vez creo que tengo 2 ordenadores conectados en linea un portatil y uno de sobremesa y ambos estan infectados igual es relevante para conseguir una solucion al tema sin mas pego el log muchas gracias


SDFix: Version 1.74

Run by User - 21/03/2007 - 19:58:48,56

Microsoft Windows XP [Versi¢n 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:





Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found...




ADS Check:

C:\WINDOWS\system32
No streams found.


Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Archivos de programa\\MSN Messenger\\msncall.exe"="C:\\Archivos de programa\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Archivos de programa\\BitComet\\BitComet.exe"="C:\\Archivos de programa\\BitComet\\BitComet.exe:*:Enabled:BitCome t - a BitTorrent Client"
"C:\\Archivos de programa\\eMule\\eMule.exe"="C:\\Archivos de programa\\eMule\\eMule.exe:*:Enabled:eMule Plus"
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"="C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"="C:\\Archivos de programa\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Archivos de programa\\iTunes\\iTunes.exe"="C:\\Archivos de programa\\iTunes\\iTunes.exe:*:Enabled:iTunes"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\DomainPr ofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Archivos de programa\\MSN Messenger\\msncall.exe"="C:\\Archivos de programa\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"="C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"="C:\\Archivos de programa\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"


Remaining Files:
---------------


Checking For Files with Hidden Attributes :

C:\Archivos de programa\eRightSoft\SUPER\cygwin1.dll
C:\Archivos de programa\eRightSoft\SUPER\cygz.dll
C:\Archivos de programa\eRightSoft\SUPER\_Setup.dll
C:\Archivos de programa\eRightSoft\SUPER\mencoder\14_43260.dll
C:\Archivos de programa\eRightSoft\SUPER\mencoder\28_83260.dll
C:\Archivos de programa\eRightSoft\SUPER\mencoder\atrc3260.dll
C:\Archivos de programa\eRightSoft\SUPER\mencoder\cook3260.dll
C:\Archivos de programa\eRightSoft\SUPER\mencoder\ddnt3260.dll
C:\Archivos de programa\eRightSoft\SUPER\mencoder\dnet3260.dll
C:\Archivos de programa\eRightSoft\SUPER\mencoder\drv13260.dll
C:\Archivos de programa\eRightSoft\SUPER\mencoder\drv23260.dll
C:\Archivos de programa\eRightSoft\SUPER\mencoder\drv33260.dll
C:\Archivos de programa\eRightSoft\SUPER\mencoder\drv43260.dll
C:\Archivos de programa\eRightSoft\SUPER\mencoder\dspr3260.dll
C:\Archivos de programa\eRightSoft\SUPER\mencoder\ivvideo.dll
C:\Archivos de programa\eRightSoft\SUPER\mencoder\qtmlClient.dll
C:\Archivos de programa\eRightSoft\SUPER\mencoder\raac.dll
C:\Archivos de programa\eRightSoft\SUPER\mencoder\rnco3260.dll
C:\Archivos de programa\eRightSoft\SUPER\mencoder\rnlt3260.dll
C:\Archivos de programa\eRightSoft\SUPER\mencoder\rv103260.dll
C:\Archivos de programa\eRightSoft\SUPER\mencoder\rv203260.dll
C:\Archivos de programa\eRightSoft\SUPER\mencoder\rv303260.dll
C:\Archivos de programa\eRightSoft\SUPER\mencoder\rv403260.dll
C:\Archivos de programa\eRightSoft\SUPER\mencoder\sipr3260.dll
C:\Archivos de programa\eRightSoft\SUPER\mencoder\tokr3260.dll
C:\WINDOWS\system32\flvDX.dll
C:\Archivos de programa\eRightSoft\SUPER\Setup.exe
C:\Archivos de programa\Outlook Express\msimn.exe
C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp

Finished

Hola, el reporte sale todo bien y el anterior de Nod32 muestra el troyano en

C:\Downloads\setup.exe

Por lo que seguro que lo hayas bajado con algun programa de BitTorrent o similar.

Te recomiendo hacer un escaneo online con varios de los Antivirus Online de esta listado como Kaspesky, BitDefender, Panda ya que alguno te tiene que encontrar algo mas ahi.

Salu2