Hola amigos de spyware, tengo un problema con una especie de virus o spyware que me salio en msn... El cuento es que es FOTOS.RAR claramente es un tipo de progama que se reenvia solo al computador infectado, de tal manera que siempre se vuelve a mandar cada vez que converso con alguien, ademas de ello hace zumbidos de manera incontrolable...

La extencion del archivo en si no lo se, pero espero que ustedes me ayuden, estoy en el pc de la empresa y no puedo hacer un backup ya que se me quemo la unidad de dvd... Estoy esperandolos desde ya un abrazo grande... les dejo el log del hijackthis :)

p.d: tambien les dejo el error que me sale del NOD32

C:\windows\system32\ntoskrnl.exe:kernel

Codigo Malicioso

win32/rootkit.odys.a


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:35:27, on 18/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\WinTVR3\Remote.exe
C:\Archivos de programa\WinTVR3\Schedule.exe
C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Archivos de programa\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrador\Escritorio\HiJackThis_v2.ex e
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TvrRemote] "C:\Archivos de programa\WinTVR3\Remote.exe"
O4 - HKLM\..\Run: [TvrSchedule] "C:\Archivos de programa\WinTVR3\Schedule.exe"
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O8 - Extra context menu item: Adición a la lista de impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Impresión a alta velocidad de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Vista previa de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 6588 bytes

Hola jamirowrx. ForoSpyware (por el momento) no brinda ayuda oficialmente para HiJackThis 2.0.0, así que descarga la versión 1.99.1 de Hijackthis y pega un nuevo log.

Saludos

Perfecto...

Les pongo la informacion inmediatamente!

Logfile of HijackThis v1.99.1
Scan saved at 21:24:00, on 19/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\WinTVR3\Remote.exe
C:\Archivos de programa\WinTVR3\Schedule.exe
C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Archivos de programa\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TvrRemote] "C:\Archivos de programa\WinTVR3\Remote.exe"
O4 - HKLM\..\Run: [TvrSchedule] "C:\Archivos de programa\WinTVR3\Schedule.exe"
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O8 - Extra context menu item: Adición a la lista de impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Impresión a alta velocidad de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Vista previa de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Gracias muchachos!, espero su respuesta :)

El log está limpio, descarga y ejecuta la herramienta ComboFix, luego pegas su reporte y nos cometnas los resultados.

Saludos

GRACIAS!!!

vere el tema y les pego el reporte!...

se pasaron!...

ojala resulte!!


nos vemos!

ComboFix 07-06-21.3 - C:\Documents and Settings\Administrador\Escritorio\ComboFix.exe
"Administrador" - 2007-06-21 20:22:56 - Service Pack 2 NTFS


((((((((((((((((((((((((( Files Created from 2007-05-21 to 2007-06-21 )))))))))))))))))))))))))))))))


2007-06-21 19:50 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-21 18:41 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Spybot - Search & Destroy
2007-06-20 12:46 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2007-06-20 12:46 <DIR> d-------- C:\Archivos de programa\Neoretix
2007-06-19 21:23 <DIR> d-------- C:\Archivos de programa\HJT
2007-06-19 18:54 <DIR> d-------- C:\WINDOWS\system32\SoftwareDistribution
2007-06-17 19:54 <DIR> d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\Lavasoft
2007-06-17 18:49 21,504 --a------ C:\Foto_celular.scr
2007-06-17 18:48 47,616 --a------ C:\WINDOWS\system32\oddysee.exe
2007-06-17 18:47 21,504 --a------ C:\WINDOWS\system32\svschost.sys
2007-06-17 18:47 171,917 --a------ C:\WINDOWS\system32\msnworm.exe
2007-06-15 00:19 <DIR> d-------- C:\Archivos de programa\Picasa2
2007-06-13 13:29 <DIR> d-------- C:\Archivos de programa\directx
2007-06-13 13:25 <DIR> d-------- C:\UnrealTournament
2007-06-12 11:58 <DIR> d-------- C:\Archivos de programa\MSXML 4.0
2007-06-12 11:57 <DIR> d--h----- C:\WINDOWS\system32\DllCache
2007-06-12 10:41 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2007-06-10 23:09 <DIR> d-------- C:\DOCUME~1\ADMINI~1\'07_06_10_00
2007-06-08 23:52 0 -ra------ C:\logwmemory.bin
2007-06-08 19:22 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\DVD Shrink
2007-06-03 21:21 <DIR> d-------- C:\WINDOWS\system32\appmgmt
2007-06-01 19:43 665,424 --a------ C:\WINDOWS\system32\wmv8dmoe.dll
2007-06-01 19:43 572,752 --a------ C:\WINDOWS\system32\wmvdmoe.dll
2007-06-01 19:43 438,608 --a------ C:\WINDOWS\system32\wmv8dmod.dll
2007-06-01 19:43 306,000 --a------ C:\WINDOWS\system32\mpg4dmod.dll
2007-06-01 19:43 117,072 --a------ C:\WINDOWS\system32\wmsdmoe.dll
2007-06-01 19:43 1,683,792 --a------ C:\WINDOWS\system32\wmvcore2.dll
2007-06-01 19:41 <DIR> d-------- C:\Archivos de programa\coolpro2
2007-06-01 19:40 <DIR> d-------- C:\Archivos de programa\Cool edit Pro 2.0
2007-06-01 19:35 <DIR> d-------- C:\Archivos de programa\CDex_140b9
2007-05-31 14:33 82,432 --a------ C:\WINDOWS\system32\msxml4r.dll
2007-05-31 14:33 81,920 --a------ C:\WINDOWS\system32\DLLCPY32.dll
2007-05-31 14:33 65,536 --a------ C:\WINDOWS\system32\DLLPTL32.dll
2007-05-31 14:33 61,440 --a------ C:\WINDOWS\system32\DLLCDF32.dll
2007-05-31 14:33 57,344 --a------ C:\WINDOWS\system32\DLLTPO32.dll
2007-05-31 14:33 53,248 --a------ C:\WINDOWS\system32\DLLPRJ32.dll
2007-05-31 14:33 49,152 --a------ C:\WINDOWS\system32\DLLPRF32.dll
2007-05-31 14:33 49,152 --a------ C:\WINDOWS\system32\DLLIO32.dll
2007-05-31 14:33 45,056 --a------ C:\WINDOWS\system32\DLLIMG32.dll
2007-05-31 14:33 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2007-05-31 14:33 401,408 --a------ C:\WINDOWS\system32\DLLAV32.dll
2007-05-31 14:33 40,960 --a------ C:\WINDOWS\system32\DLLRD32.dll
2007-05-31 14:33 38,912 --a------ C:\WINDOWS\system32\mgxasio.dll
2007-05-31 14:33 36,864 --a------ C:\WINDOWS\system32\DLLPNT32.dll
2007-05-31 14:33 32,768 --a------ C:\WINDOWS\system32\STRING32.dll
2007-05-31 14:33 32,768 --a------ C:\WINDOWS\system32\DLLMSC32.dll
2007-05-31 14:33 32,768 --a------ C:\WINDOWS\system32\DLLISO32.dll
2007-05-31 14:33 32,768 --a------ C:\WINDOWS\system32\DLLDIR32.dll
2007-05-31 14:33 284,840 --a------ C:\WINDOWS\system32\mp4sdmod.dll
2007-05-31 14:33 24,576 --a------ C:\WINDOWS\system32\TTIC32.dll
2007-05-31 14:33 24,576 --a------ C:\WINDOWS\system32\TTI32.dll
2007-05-31 14:33 24,576 --a------ C:\WINDOWS\system32\DLLIX.dll
2007-05-31 14:33 188,416 --a------ C:\WINDOWS\system32\DLLRES32.dll
2007-05-31 14:33 155,648 --a------ C:\WINDOWS\system32\DLLDEV32.dll
2007-05-31 14:33 143,360 --a------ C:\WINDOWS\system32\DLLDRV32.dll
2007-05-31 14:33 114,688 --a------ C:\WINDOWS\system32\DLLCDA32.dll
2007-05-31 14:33 <DIR> d-------- C:\Archivos de programa\Archivos comunes\MAGIX Shared
2007-05-31 14:32 85,504 --a------ C:\WINDOWS\system32\HtmlWH.dll
2007-05-31 14:32 49,152 --a------ C:\WINDOWS\system32\INETWH32.dll
2007-05-31 14:32 475,136 --a------ C:\WINDOWS\system32\mgxoschk.dll
2007-05-31 14:32 1,089,536 --a------ C:\WINDOWS\system32\ROBOEX32.DLL
2007-05-31 14:32 <DIR> d-------- C:\WINDOWS\system32\MAGIX
2007-05-31 14:32 <DIR> d-------- C:\MAGIX
2007-05-29 23:23 <DIR> d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\Help
2007-05-29 23:23 <DIR> d-------- C:\Archivos de programa\Multiquence
2007-05-29 23:23 <DIR> d-------- C:\Archivos de programa\AtomixMP3
2007-05-29 22:33 <DIR> d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\MegauploadToolbar
2007-05-29 22:33 <DIR> d-------- C:\Archivos de programa\MegauploadToolbar
2007-05-25 18:33 53,248 --a------ C:\WINDOWS\amcap.exe


(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))

2007-06-20 18:06:11 0 ----a-w C:\WINDOWS\system32\ntoskrnl.Vexe
2007-06-19 19:23:35 -------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2007-06-17 18:47:09 -------- d-----w C:\Archivos de programa\TuneUp Utilities 2006
2007-06-12 10:38:14 73,640 ----a-w C:\WINDOWS\system32\perfc00A.dat
2007-06-12 10:38:14 443,026 ----a-w C:\WINDOWS\system32\perfh00A.dat
2007-06-10 21:34:03 284 ----a-w C:\DOCUME~1\ADMINI~1\DATOSD~1\ViewerApp.dat
2007-06-05 12:17:37 -------- d-----w C:\Archivos de programa\WinTVR3
2007-06-03 19:23:33 -------- d-----w C:\Archivos de programa\Canon
2007-05-16 15:12:01 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-16 13:53:20 50 ----a-w C:\AUTOEXEC.BAT
2007-05-16 13:52:52 -------- d-----w C:\Archivos de programa\PIXELA
2007-05-16 13:50:31 -------- d-----w C:\Archivos de programa\Sony Corporation
2007-05-16 13:50:15 -------- d-----w C:\Archivos de programa\Archivos comunes\muvee Technologies
2007-05-16 08:34:00 -------- d-----w C:\DOCUME~1\ADMINI~1\DATOSD~1\Media Player Classic
2007-05-15 23:09:17 -------- d-----w C:\Archivos de programa\Yursoft
2007-05-15 22:24:07 -------- d-----w C:\Archivos de programa\Archivos comunes\ODBC
2007-05-15 22:06:23 -------- d-----w C:\DOCUME~1\ADMINI~1\DATOSD~1\CyberLink
2007-05-15 22:03:09 -------- d-----w C:\Archivos de programa\Windows Media Components
2007-05-15 21:55:25 -------- d-----w C:\Archivos de programa\Realtek Sound Manager
2007-05-15 21:55:24 -------- d-----w C:\Archivos de programa\AvRack
2007-05-15 21:55:23 -------- d-----w C:\Archivos de programa\Realtek AC97
2007-05-15 21:54:26 -------- d-----w C:\Archivos de programa\S3
2007-05-15 21:53:29 -------- d-----w C:\Archivos de programa\Archivos comunes\InstallShield
2007-05-15 21:52:46 -------- d-----w C:\DOCUME~1\ADMINI~1\DATOSD~1\Talkback
2007-05-15 21:52:42 0 ----a-w C:\WINDOWS\nsreg.dat
2007-05-15 21:50:11 -------- d-----w C:\Archivos de programa\Winamp
2007-05-15 21:49:48 -------- d-----w C:\DOCUME~1\ADMINI~1\DATOSD~1\TuneUp Software
2007-05-15 21:49:23 -------- d-----w C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2007-05-15 21:49:07 -------- d-----w C:\Archivos de programa\QuickTime Alternative
2007-05-15 21:49:07 -------- d-----w C:\Archivos de programa\Media Player Classic
2007-05-15 21:48:53 -------- d-----w C:\Archivos de programa\CyberLink
2007-05-15 21:46:01 -------- d-----w C:\Archivos de programa\Microsoft Works
2007-05-15 21:45:46 -------- d-----w C:\Archivos de programa\Microsoft.NET
2007-05-15 21:44:38 502,368 ----a-w C:\WINDOWS\system32\drivers\amon.sys
2007-05-15 21:44:38 270,336 ----a-w C:\WINDOWS\system32\imon.dll
2007-05-15 21:44:09 -------- d-----w C:\Archivos de programa\Nero
2007-05-15 21:44:09 -------- d-----w C:\Archivos de programa\Archivos comunes\Ahead
2007-05-15 21:43:37 -------- d-----w C:\Archivos de programa\MSN Messenger
2007-05-15 21:43:25 -------- d-----w C:\Archivos de programa\K-Lite Codec Pack
2007-05-15 21:42:45 2,883 ----a-w C:\WINDOWS\mozver.dat
2007-05-15 21:42:45 107,132 ----a-w C:\WINDOWS\UninstallFirefox.exe
2007-05-15 21:42:34 -------- d-----w C:\Archivos de programa\DVD Shrink
2007-05-15 21:42:29 -------- d-----w C:\Archivos de programa\CCleaner
2007-05-15 21:42:09 -------- d-----w C:\Archivos de programa\Alcohol Soft
2007-05-15 21:41:44 -------- d-----w C:\Archivos de programa\Lavasoft
2007-05-15 21:31:47 0 --sha-r C:\MSDOS.SYS
2007-05-15 21:31:47 0 --sha-r C:\IO.SYS
2007-05-15 21:31:47 0 ----a-w C:\CONFIG.SYS
2007-05-15 21:30:40 -------- d--h--w C:\Archivos de programa\WindowsUpdate
2007-05-15 21:30:20 -------- d-----w C:\Archivos de programa\Archivos comunes\MSSoap
2007-05-15 21:29:48 21,900 ----a-w C:\WINDOWS\system32\emptyregdb.dat
2007-05-15 21:28:42 -------- d-----w C:\Archivos de programa\Windows NT
2007-04-25 14:22:37 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-18 16:14:22 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2005-09-23 19:12]
{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}=C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL [2007-05-28 15:30]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"nod32kui"="C:\Archivos de programa\Eset\nod32kui.exe" [2007-05-15 23:44]
"RemoteControl"="C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe" [2005-01-12 03:01]
"VTTimer"="VTTimer.exe" [2005-03-08 03:33 C:\WINDOWS\system32\VTTimer.exe]
"VTTrayp"="VTtrayp.exe" [2005-03-11 17:33 C:\WINDOWS\system32\VTTrayp.exe]
"SoundMan"="SOUNDMAN.EXE" [2005-08-17 18:39 C:\WINDOWS\soundman.exe]
"TvrRemote"="C:\Archivos de programa\WinTVR3\Remote.exe" [2005-09-27 14:56]
"TvrSchedule"="C:\Archivos de programa\WinTVR3\Schedule.exe" [2005-09-27 19:03]
"Picasa Media Detector"="C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe" [2006-03-16 01:07]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:42]
"MsnMsgr"="C:\Archivos de programa\MSN Messenger\MsnMsgr.exe" [2005-10-13 01:23]

[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\runonce]
"nlsf"=cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll"
"tscuninstall"=%systemroot%\system32\tscupgrd. exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system]
"DisableStatusMessages"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\explorer]
"NoDesktopCleanupWizard"=1 (0x1)
"ForceClassicControlPanel"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer]
"NoSMHelp"=1 (0x1)
"NoSMConfigurePrograms"=1 (0x1)
"NoSharedDocuments"=1 (0x1)
"NoLowDiskSpaceChecks"=1 (0x1)
"NoResolveTrack"=1 (0x1)
"LinkResolveIgnoreLinkInfo "=1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\policies\explorer]
"NoSMHelp"=1 (0x1)
"NoSMConfigurePrograms"=1 (0x1)
"NoSharedDocuments"=1 (0x1)
"NoLowDiskSpaceChecks"=1 (0x1)
"NoResolveTrack"=1 (0x1)
"LinkResolveIgnoreLinkInfo "=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalService Alerter WebClient LmHosts upnphost SSDPSRV

*Newly Created Service* - RASMAN

************************************************** ************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-21 20:23:54
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

? [3616]


scanning hidden autostart entries ...

scanning hidden files ...

C:\WINDOWS\system32\ntoskrnl.Vexe:kernel 4864 bytes executable

scan completed successfully
hidden files: 1

************************************************** ************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\O ddysee]
"ImagePath"="\??\C:\WINDOWS\system32\ntoskrnl.exe: kernel"

Completion time: 2007-06-21 20:24:34

--- E O F ---


no paso nada, aun trengo el virus :S

que puedo hacer?

Sigue estos pasos:

Navega hasta llegar a estas rutas:

C:\WINDOWS\system32\NTOSKRNL.EXE

C:\WINDOWS\system32\dllcache\NTOSKRNL.EXE

Tienes que renombrar los 2 archivos. de NTOSKRNL.EXE a NTOSKRNL.VIR

O sea cambiar la extensión de exe a Vir

Luego elimina, después de renombrarlos, al archivo de la Carpeta "dllcache"

Reinicia el sistema y verifica los resultados.

Saludos