Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola, mi PC está realmente malo, veo actividad en el modem sin estar navegando, me sale a veces una ventana winlogon, que se apaga irreversiblemente, a veces debo resetar varias veces para solo iniciar sesión, etc...muchos problemas.
Abajo está el log, ojalá puedan ayudarme
Gracias

Logfile of HijackThis v1.99.1
Scan saved at 18:26:56, on 05/05/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Archivos comunes\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\DAEMON Tools\daemon.exe
C:\Archivos de programa\WIDCOMM\Software Bluetooth\BTTray.exe
C:\ARCHIV~1\WIDCOMM\SOFTWA~1\BTSTAC~1.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {278B661A-14A8-D8B0-6AF4-03088B866149} - C:\WINDOWS\System32\unaoakg.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {598F4775-6FB6-477B-9842-E0426824E077} - C:\DOCUME~1\Jaime\CONFIG~1\Temp\~DPF.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {052b12f7-86fa-4921-8482-26c42316b522} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Archivos de programa\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [8agB6IniI] C:\WINDOWS\ybdwyjxg.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [uhvjsul.dll] C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\uhvjsul.dll,mrpmvyf
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV0 2.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O15 - Trusted Zone: http://sirela2003.dt.gob.cl
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{52408EBE-EEE9-41A1-B2DD-678BF43EF1FF}: NameServer = 85.255.113.94,85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{5FAD8591-8CBB-4C26-85C8-5081DDD87D65}: NameServer = 85.255.113.94,85.255.112.19
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.94 85.255.112.19
O17 - HKLM\System\CS1\Services\Tcpip\..\{52408EBE-EEE9-41A1-B2DD-678BF43EF1FF}: NameServer = 85.255.113.94,85.255.112.19
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.94 85.255.112.19
O17 - HKLM\System\CS2\Services\Tcpip\..\{52408EBE-EEE9-41A1-B2DD-678BF43EF1FF}: NameServer = 85.255.113.94,85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.94 85.255.112.19
O18 - Protocol: ncbi8 - {2B576DD3-0B3E-4718-BCBF-B15E4FB8009D} - C:\Archivos de programa\Informax\Vector NTI Suite 9\Ncbi.dll
O20 - Winlogon Notify: A3dxq - C:\WINDOWS\System32\a3dxq.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O20 - Winlogon Notify: winmqx32 - winmqx32.dll (file missing)
O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documentos\Settings\winsys2f.dll
O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - (no file)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodata Limited License Service - Autodata Limited - C:\Archivos de programa\Archivos comunes\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Netbios Helper Service - Unknown owner - C:\WINDOWS\system32\altsvc.exe (file missing)
O23 - Service: Network DDE Connections (NETDDEC) - Unknown owner - C:\WINDOWS\system32\service.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Hola jatobar,Bienvenido a Infospyware.

Lo tienes muy infectado....


Comprueba en el Centro de descarga si tienes todos los parches instalados.

Instálate un Cortafuegos/Firewall y aqui podrias elegir uno


Descarga la herramienta VundoFix.exe,en el escritorio de Windows y descomprímala,pero no la ejecutes aún.

Y lo mísmo con el SuperAntiSpyware lo actualizas, pero no lo ejecutes aún.


Realiza todos los pasos sin saltarte ninguno,por favor.

Apaga tu ruter/moden y desconecta el cable de tf. de la torre.



Ver archivos ocultos en todos los Windows

Apagar Restaurar Sistema (Systema Restore)

Reinicia el PC en Modo a prueba de fallos


Ejecuta el hijackthis y con todos lo programas cerrados marca las siguientes entradas y pulsa en FIX Checked:

O2 - BHO: (no name) - {278B661A-14A8-D8B0-6AF4-03088B866149} - C:\WINDOWS\System32\unaoakg.dll (file missing)
O2 - BHO: (no name) - {598F4775-6FB6-477B-9842-E0426824E077} - C:\DOCUME~1\Jaime\CONFIG~1\Temp\~DPF.dll
O4 - HKLM\..\Run: [8agB6IniI] C:\WINDOWS\ybdwyjxg.exe

O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe
O4 - HKLM\..\Run: [uhvjsul.dll] C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\uhvjsul.dll,mrpmvyf
O20 - Winlogon Notify: A3dxq - C:\WINDOWS\System32\a3dxq.dll

O20 - Winlogon Notify: winmqx32 - winmqx32.dll (file missing)
O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documentos\Settings\winsys2f.dll
O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - (no file)

O23 - Service: Netbios Helper Service - Unknown owner - C:\WINDOWS\system32\altsvc.exe (file missing)
O23 - Service: Network DDE Connections (NETDDEC) - Unknown owner - C:\WINDOWS\system32\service.exe (file missing)


Sin reiniciar,busca y elimina estos archivos/carpetas.Utiliza el KillBox si no puedes eliminarlos.

Le vas poniendo que NO a reiniciar hasta que pongas el ultimo y ahi le pones que SI para que reinicie y elimine estos archivos infectados.

C:\WINDOWS\System32\unaoakg.dll
C:\DOCUME~1\Jaime\CONFIG~1\Temp\~DPF.dll
C:\WINDOWS\ybdwyjxg.exe

C:\WINDOWS\System32\hgqhp.exe
C:\WINDOWS\System32\uhvjsul.dll,mrpmvyf
C:\WINDOWS\System32\a3dxq.dll

winmqx32.dll
C:\Documents and Settings\All Users\Documentos\Settings\winsys2f.dll
C:\WINDOWS\system32\altsvc.exe


Ejecuta ahora el VundoFix.exe y sigues todos los pasos que previamente te has imprimido.


Tienes que seguir las instrucciones de este tutorial y eliminar todas las entradas 017 iguales a ésta de aquí abajo (manual)

O17 - HKLM\System\CCS\Services\Tcpip\..\{52408EBE-EEE9-41A1-B2DD-678BF43EF1FF}: NameServer = 85.255.113.94,85.255.112.19



Y pones el reporte que te genere el C:\fixwareout\report.txt.



Elimina todas las cuarentenas que tengas y vacía la papelera.



Pasa estas herramientas:

SuperAntiSpyware

Disk Cleaner para limpiar cookis y temporales

CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).Pásalo hasta que no te salga nada.


Reactiva la opción de restaurar el sistema,reinicias y te conectas a la red.


Y le pasas 2 antivirus online, el AVG/ Ewido Anti Spyware y el Kaspersky,por este orden y si hay algo que no te eliminen lo pones aquí con su ruta completa.


Pones otro log para ver como esta todo y nos cuentas los resultados.

*Si tienes alguna duda,te puedes imprimir las instrucciones, para hacer un mejor seguimiento.

Hola NeoByte, muchas gracias por tu respuesta y por la ayuda.
Te debo decir que varios de los problemas de mi computador se han arreglado, entre estos avisos de archivos .dll desaparecidos al iniciar, y los apagados súbitos también se acabaron, sin embargo, por lo que te voy a comentar creo que aún hay algo dando vueltas en mi sistema.
Mira, creo que hice todo lo que me dijiste creo que sin equivocarme. De los antispyware que me dijiste instalé en SuperAntiSpyware y el ZoneAlarmPro como Firewall. Eliminé lo que me dijiste en modo a prueba de fallos, si la necesidad de utilizar el killbox, y pasé todos los programas citados.
Lo único raro es que algunas cosas que me dijiste que eliminara ya no existían después de hacer el "fixchecked" del HijackThis, así que no las tuve o no las pude borrar (las busqué una por una y simplemente no estaban). Éstas eran:
C:\WINDOWS\System32\unaoakg.dll
C:\DOCUME~1\Jaime\CONFIG~1\Temp\~DPF.dll
C:\WINDOWS\ybdwyjxg.exe

C:\WINDOWS\System32\hgqhp.exe
C:\WINDOWS\System32\uhvjsul.dll,mrpmvyf
C:\WINDOWS\System32\a3dxq.dll
winmqx32.dl

El reporte del fixwareout me dio lo siguiente:

Fixwareout Last edited 4/5/2007
Post this report in the forums please
...
»»»»»Prerun check

»»»»» System restarted

»»»»» Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
»»»»» Misc files.
C:\Documents and Settings\Jaime\Datos de programa\Install.dat Deleted
....
»»»»» Checking for older varients.
....

Search five digit cs, dm, kd, jb, other, files.
The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection.



Click browse, find the file then click submit.
http://www.virustotal.com/flash/index_en.html
Or http://virusscan.jotti.org/

»»»»» Other



»»»»» Current runs
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"SoundMan"="SOUNDMAN.EXE"
"PE2CKFNT SE"="C:\\Archivos de programa\\Ulead Systems\\Ulead Photo Express 2 SE\\ChkFont.exe"
"QuickTime Task"="\"C:\\Archivos de programa\\QuickTime\\qttask.exe\" -atboottime"
"Acrobat Assistant 7.0"="\"C:\\Archivos de programa\\Adobe\\Acrobat 7.0\\Distillr\\Acrotray.exe\""
"NeroFilterCheck"="C:\\Archivos de programa\\Archivos comunes\\Ahead\\Lib\\NeroCheck.exe"
"nod32kui"="\"C:\\Archivos de programa\\Eset\\nod32kui.exe\" /WAITSERVICE"
"Zone Labs Client"="C:\\Archivos de programa\\Zone Labs\\ZoneAlarm\\zlclient.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.ex e"
"ares"="\"C:\\Archivos de programa\\Ares\\Ares.exe\" -h"
"DAEMON Tools"="\"C:\\Archivos de programa\\DAEMON Tools\\daemon.exe\" -lang 1033"
"SUPERAntiSpyware"="C:\\Archivos de programa\\SUPERAntiSpyware\\SUPERAntiSpyware.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it
»»»»» End report »»»»»


Después pasé los antivirus, el Ewido lo pasé dos veces, lo raro es que las dos veces encontró archivos QUE NO ERAN SIEMPRE LOS MISMOS, este es el reporte de los archivos que encontre en la segunda pasada y que eliminó exitosamente:

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: Logger.Banker.zn
Path: C:\System Volume Information\_restore{16ADB8AC-0608-4EA7-8172-ED3701733418}\RP1\A0000016.exe
Risk: High

Name: Dropper.Delf.vp
Path: C:\System Volume Information\_restore{16ADB8AC-0608-4EA7-8172-ED3701733418}\RP1\A0000017.exe
Risk: High

Name: Dropper.Small
Path: C:\System Volume Information\_restore{16ADB8AC-0608-4EA7-8172-ED3701733418}\RP1\A0000018.exe
Risk: High

Name: Downloader.IstBar
Path: C:\System Volume Information\_restore{16ADB8AC-0608-4EA7-8172-ED3701733418}\RP1\A0000019.exe
Risk: High

Name: Backdoor.Zapchast
Path: C:\System Volume Information\_restore{16ADB8AC-0608-4EA7-8172-ED3701733418}\RP1\A0000020.cmd
Risk: High

Name: Trojan.Delf.tm
Path: D:\System Volume Information\_restore{16ADB8AC-0608-4EA7-8172-ED3701733418}\RP1\A0000021.exe
Risk: High

Name: Downloader.Swizzor.g
Path: D:\System Volume Information\_restore{16ADB8AC-0608-4EA7-8172-ED3701733418}\RP1\A0000022.exe/70000011.exe
Risk: High

Luego pasé el Kasperski, y desafortunadamente encontró archivos infectados, la mayoría en una cuarentena del NOD32, pero de todas formas otros en archivos fuera de ésta. Este es su reporte:

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Sunday, May 13, 2007 7:24:07 PM
Operating System: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky Online Scanner version: 5.0.93.0
Kaspersky Anti-Virus database last update: 13/05/2007
Kaspersky Anti-Virus database records: 318397
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\

Scan Statistics:
Total number of scanned objects: 158874
Number of viruses found: 12
Number of infected objects: 46
Number of suspicious objects: 2
Duration of the scan process: 02:30:19

Infected Object Name / Virus Name / Last Action
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2007-05-13.10-33-54.log Object is locked skipped
C:\Archivos de programa\ESET\cache\CACHE.NDB Object is locked skipped
C:\Archivos de programa\ESET\infected\3MIEKTAA.NQF/stream/data0007/stream/data0004 Infected: not-a-virus:AdWare.Win32.180Solutions skipped
C:\Archivos de programa\ESET\infected\3MIEKTAA.NQF/stream/data0007/stream/data0005/data.rar/whAgent.exe Infected: not-a-virus:AdWare.Win32.WebHancer.351 skipped
C:\Archivos de programa\ESET\infected\3MIEKTAA.NQF/stream/data0007/stream/data0005/data.rar/whInstaller.exe Infected: not-a-virus:AdWare.Win32.WebHancer skipped
C:\Archivos de programa\ESET\infected\3MIEKTAA.NQF/stream/data0007/stream/data0005/data.rar/whSurvey.exe Infected: not-a-virus:AdWare.Win32.WebHancer skipped
C:\Archivos de programa\ESET\infected\3MIEKTAA.NQF/stream/data0007/stream/data0005/data.rar/webhdll.dll Infected: not-a-virus:AdWare.Win32.WebHancer skipped
C:\Archivos de programa\ESET\infected\3MIEKTAA.NQF/stream/data0007/stream/data0005/data.rar/whiehlpr.dll Infected: not-a-virus:AdWare.Win32.WebHancer skipped
C:\Archivos de programa\ESET\infected\3MIEKTAA.NQF/stream/data0007/stream/data0005/data.rar Infected: not-a-virus:AdWare.Win32.WebHancer skipped
C:\Archivos de programa\ESET\infected\3MIEKTAA.NQF/stream/data0007/stream/data0005 Infected: not-a-virus:AdWare.Win32.WebHancer skipped
C:\Archivos de programa\ESET\infected\3MIEKTAA.NQF/stream/data0007/stream Infected: not-a-virus:AdWare.Win32.WebHancer skipped
C:\Archivos de programa\ESET\infected\3MIEKTAA.NQF/stream/data0007 Infected: not-a-virus:AdWare.Win32.WebHancer skipped
C:\Archivos de programa\ESET\infected\3MIEKTAA.NQF/stream Infected: not-a-virus:AdWare.Win32.WebHancer skipped
C:\Archivos de programa\ESET\infected\3MIEKTAA.NQF NSIS: infected - 11 skipped
C:\Archivos de programa\ESET\infected\3MIEKTAA.NQF PE-Crypt.XorPE: infected - 11 skipped
C:\Archivos de programa\ESET\infected\BQYXJODA.NQF Infected: Trojan-Proxy.Win32.Agent.ji skipped
C:\Archivos de programa\ESET\infected\F0JEZXBA.NQF Infected: Trojan-Clicker.Win32.Agent.jh skipped
C:\Archivos de programa\ESET\infected\J3KVAADA.NQF Infected: Trojan-Proxy.Win32.Xorpix.m skipped
C:\Archivos de programa\ESET\infected\VQC3LYDA.NQF Infected: Trojan-Proxy.Win32.Xorpix.ba skipped
C:\Archivos de programa\ESET\infected\Z5KI1RDA.NQF Infected: Trojan.Win32.Obfuscated.ev skipped
C:\Archivos de programa\ESET\logs\virlog.dat Object is locked skipped
C:\Archivos de programa\ESET\logs\warnlog.dat Object is locked skipped
C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudC7.zip/vxgame6.exe Suspicious: Password-protected-EXE skipped
C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\SmitfraudC7.zip ZIP: suspicious - 1 skipped
C:\Documents and Settings\Jaime\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Jaime\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\Jaime\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\Jaime\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Jaime\Configuración local\Historial\History.IE5\MSHist0120070513200705 14\index.dat Object is locked skipped
C:\Documents and Settings\Jaime\Configuración local\Temp\~DF7EB8.tmp Object is locked skipped
C:\Documents and Settings\Jaime\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\Jaime\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\SUP ERANTISPYWARE.LOG Object is locked skipped
C:\Documents and Settings\Jaime\Escritorio\Lab\Laboratorio\EndNote 8.0.1\Endnote_demo_8[1].01_build_917.zip/crack.exe Infected: Trojan-Downloader.Win32.IstBar.is skipped
C:\Documents and Settings\Jaime\Escritorio\Lab\Laboratorio\EndNote 8.0.1\Endnote_demo_8[1].01_build_917.zip ZIP: infected - 1 skipped
C:\Documents and Settings\Jaime\Escritorio\Lab\Laboratorio\EndNote 8.0.1\Endnote_demo_8[1].01_build_917.zip CryptFF.b: infected - 1 skipped
C:\Documents and Settings\Jaime\ntuser.dat Object is locked skipped
C:\Documents and Settings\Jaime\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\Maryta\Escritorio\Install-Mood-v4.exe/stream/data0001 Infected: not-a-virus:AdWare.Win32.NewDotNet skipped
C:\Documents and Settings\Maryta\Escritorio\Install-Mood-v4.exe/stream/data0002 Infected: not-a-virus:AdWare.Win32.180Solutions skipped
C:\Documents and Settings\Maryta\Escritorio\Install-Mood-v4.exe/stream/data0003/data.rar/whAgent.exe Infected: not-a-virus:AdWare.Win32.WebHancer.351 skipped
C:\Documents and Settings\Maryta\Escritorio\Install-Mood-v4.exe/stream/data0003/data.rar/whInstaller.exe Infected: not-a-virus:AdWare.Win32.WebHancer skipped
C:\Documents and Settings\Maryta\Escritorio\Install-Mood-v4.exe/stream/data0003/data.rar/whSurvey.exe Infected: not-a-virus:AdWare.Win32.WebHancer skipped
C:\Documents and Settings\Maryta\Escritorio\Install-Mood-v4.exe/stream/data0003/data.rar/webhdll.dll Infected: not-a-virus:AdWare.Win32.WebHancer skipped
C:\Documents and Settings\Maryta\Escritorio\Install-Mood-v4.exe/stream/data0003/data.rar/whiehlpr.dll Infected: not-a-virus:AdWare.Win32.WebHancer skipped
C:\Documents and Settings\Maryta\Escritorio\Install-Mood-v4.exe/stream/data0003/data.rar Infected: not-a-virus:AdWare.Win32.WebHancer skipped
C:\Documents and Settings\Maryta\Escritorio\Install-Mood-v4.exe/stream/data0003 Infected: not-a-virus:AdWare.Win32.WebHancer skipped
C:\Documents and Settings\Maryta\Escritorio\Install-Mood-v4.exe/stream Infected: not-a-virus:AdWare.Win32.WebHancer skipped
C:\Documents and Settings\Maryta\Escritorio\Install-Mood-v4.exe NSIS: infected - 10 skipped
C:\Documents and Settings\Maryta\Escritorio\MSN-Winks.exe/stream/data0007/stream/data0004 Infected: not-a-virus:AdWare.Win32.180Solutions skipped
C:\Documents and Settings\Maryta\Escritorio\MSN-Winks.exe/stream/data0007/stream/data0005/data.rar/whAgent.exe Infected: not-a-virus:AdWare.Win32.WebHancer.351 skipped
C:\Documents and Settings\Maryta\Escritorio\MSN-Winks.exe/stream/data0007/stream/data0005/data.rar/whInstaller.exe Infected: not-a-virus:AdWare.Win32.WebHancer skipped
C:\Documents and Settings\Maryta\Escritorio\MSN-Winks.exe/stream/data0007/stream/data0005/data.rar/whSurvey.exe Infected: not-a-virus:AdWare.Win32.WebHancer skipped
C:\Documents and Settings\Maryta\Escritorio\MSN-Winks.exe/stream/data0007/stream/data0005/data.rar/webhdll.dll Infected: not-a-virus:AdWare.Win32.WebHancer skipped
C:\Documents and Settings\Maryta\Escritorio\MSN-Winks.exe/stream/data0007/stream/data0005/data.rar/whiehlpr.dll Infected: not-a-virus:AdWare.Win32.WebHancer skipped
C:\Documents and Settings\Maryta\Escritorio\MSN-Winks.exe/stream/data0007/stream/data0005/data.rar Infected: not-a-virus:AdWare.Win32.WebHancer skipped
C:\Documents and Settings\Maryta\Escritorio\MSN-Winks.exe/stream/data0007/stream/data0005 Infected: not-a-virus:AdWare.Win32.WebHancer skipped
C:\Documents and Settings\Maryta\Escritorio\MSN-Winks.exe/stream/data0007/stream Infected: not-a-virus:AdWare.Win32.WebHancer skipped
C:\Documents and Settings\Maryta\Escritorio\MSN-Winks.exe/stream/data0007 Infected: not-a-virus:AdWare.Win32.WebHancer skipped
C:\Documents and Settings\Maryta\Escritorio\MSN-Winks.exe/stream Infected: not-a-virus:AdWare.Win32.WebHancer skipped
C:\Documents and Settings\Maryta\Escritorio\MSN-Winks.exe NSIS: infected - 11 skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\System Volume Information\_restore{16ADB8AC-0608-4EA7-8172-ED3701733418}\RP1\change.log Object is locked skipped
C:\WINDOWS\Debug\oakley.log Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\Internet Logs\fwdbglog.txt Object is locked skipped
C:\WINDOWS\Internet Logs\fwpktlog.txt Object is locked skipped
C:\WINDOWS\Internet Logs\IAMDB.RDB Object is locked skipped
C:\WINDOWS\Internet Logs\JAIME.ldb Object is locked skipped
C:\WINDOWS\Internet Logs\tvDebug.log Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\drivers\sptd.sys Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\ms32.dll Infected: Backdoor.IRC.Zapchast skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked skipped
C:\WINDOWS\Temp\winED6F.tmp Infected: Trojan-Proxy.Win32.Xorpix.m skipped
C:\WINDOWS\Temp\ZLT077e6.TMP Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped

Scan process completed.


Finalmente pasé el Hijackthis, y este es el reporte:

Logfile of HijackThis v1.99.1
Scan saved at 19:27:34, on 13/05/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\DAEMON Tools\daemon.exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Archivos de programa\WIDCOMM\Software Bluetooth\BTTray.exe
C:\ARCHIV~1\WIDCOMM\SOFTWA~1\BTSTAC~1.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Archivos de programa\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV0 2.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O15 - Trusted Zone: http://sirela2003.dt.gob.cl
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{52408EBE-EEE9-41A1-B2DD-678BF43EF1FF}: NameServer = 85.255.113.94,85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{5FAD8591-8CBB-4C26-85C8-5081DDD87D65}: NameServer = 85.255.113.94,85.255.112.19
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.94 85.255.112.19
O17 - HKLM\System\CS1\Services\Tcpip\..\{52408EBE-EEE9-41A1-B2DD-678BF43EF1FF}: NameServer = 85.255.113.94,85.255.112.19
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.94 85.255.112.19
O17 - HKLM\System\CS2\Services\Tcpip\..\{52408EBE-EEE9-41A1-B2DD-678BF43EF1FF}: NameServer = 85.255.113.94,85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.94 85.255.112.19
O18 - Protocol: ncbi8 - {2B576DD3-0B3E-4718-BCBF-B15E4FB8009D} - C:\Archivos de programa\Informax\Vector NTI Suite 9\Ncbi.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: A3dxq - C:\WINDOWS\System32\a3dxq.dll (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodata Limited License Service - Autodata Limited - C:\Archivos de programa\Archivos comunes\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Network DDE Connections (NETDDEC) - Unknown owner - C:\WINDOWS\system32\service.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Pese a mi poca experiencia aún veo entradas O17, puede ser que no las haya borrado bien? La verdad no encontré nada raro ni con el VundoFix que según entendí es el que servía para esto.... Eso es lo que te informo, espero me puedas seguir ayudando a eliminar estos problemas.

Gracias denuevo y espero tu respuesta

Saludos!

Hola jatobar

Si aún tienes las 017 para eliminar.


Comprueba en el Centro de descarga si tienes todos los parches instalados. Es necesario que te instáles las actualizaciones que te faltan.


Realiza todos los pasos sin saltarte ninguno,por favor.

Apaga tu ruter/moden y desconecta el cable de tf. de la torre.



Ver archivos ocultos en todos los Windows

Apagar Restaurar Sistema (Systema Restore)

Reinicia el PC en Modo a prueba de fallos


Ejecuta el hijackthis y con todos lo programas cerrados marca las siguientes entradas y pulsa en FIX Checked:

Todas las 017 iguales a ésta.

O17 - HKLM\System\CCS\Services\Tcpip\..\{52408EBE-EEE9-41A1-B2DD-678BF43EF1FF}: NameServer = 85.255.113.94,85.255.112.19

O20 - Winlogon Notify: A3dxq - C:\WINDOWS\System32\a3dxq.dll (file missing)
O23 - Service: Network DDE Connections (NETDDEC) - Unknown owner - C:\WINDOWS\system32\service.exe (file missing)


Sin reiniciar,busca y elimina estos archivos/carpetas.Utiliza el KillBox si no puedes eliminarlos.

Le vas poniendo que NO a reiniciar hasta que pongas el ultimo y ahi le pones que SI para que reinicie y elimine estos archivos infectados.

C:\WINDOWS\System32\a3dxq.dll
C:\WINDOWS\system32\service.exe

Ejecuta ahora el WinsockFix


Elimina todas las cuarentenas que tengas y vacía la papelera. Es lo que te muestran los reportes del KASPERSKY ONLINE



Pasa estas herramientas:

SuperAntiSpyware actualizado.

Disk Cleaner para limpiar cookis y temporales

CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).Pásalo hasta que no te salga nada.



Reactiva la opción de restaurar el sistema,reinicias y te conectas a la red.

C:\System Volume Information\_restore, esto es lo que te muestra el ewido

El System Volume restore.La misma se encarga de guardar los puntos de restauración del sistema,todo lo que debes hacer es "apaga restaurar sistema", reinicias, vuelves a activar restaurar sistema y vuelves a reiniciar.


Elimina la carpeta _Restore para ello tienes que hacer lo siguiente:

1) Apaga Restaurar Sistema (http://www.forospyware.com/45-post2.html)

2) Reinicias el sistema

3) Activas de nuevo la restauración

4) Reinicias nuevamente




Y le pasas 2 antivirus online, el AVG/ Ewido Anti Spyware y el Kaspersky,por este orden y si hay algo que no te eliminen lo pones aquí con su ruta completa.


Pones otro log para ver como esta todo y nos cuentas los resultados.

*Si tienes alguna duda,te puedes imprimir las instrucciones, para hacer un mejor seguimiento.