Problema Gusano de internet (SOLUCIONADO)

sakros · 3 Nov 2008

Hola a tod@s!

Bueno...
Hace poco que el ordenador empezó a reiniciarse solo: se enciende, aparece el logo de windows y se reinicia. Se enciende, aparece el logo de windows y se reinicia...
Apagué el interruptor, volví a encenderlo y lo mismo...

Entré en modo seguro y pasé el escáner del NOD32 y luego se fué la ventana (no se bien bien qué pasó, ya que estaba haciendo otra cosa...) y luego el Spybot S&D.

Reinicié y ya se solucionó... pero al cabo de poco volvió.
Al final, se fue solo.

Después me empezó a aparecer la misma ventana de alerta del NOD32, que advertía de un Troyano:

Me empezó a aparecer publicidad con el firefox; pero ese era el único síntoma que presentaba el troyano.

Entonces, me empezó a aparecer la misma ventanita de que un gusano de internet se había colado... Tenía que cerrar la alerta del NOD32 unas 5 veces para que se fuera.

Ahí fue cuando intenté hacer algo:

Entré en modo seguro, pasé el escáner del NOD32, que me detectó unas cuantas cosas que luego arregló; luego pasé el Malwarebytes' Anti-Malware (más de 3 horas) que me detectó 9 infecciones que también arregló; luego pasé el Spybot (no sé si servía para algo, pero más vale probar...); y finalmente pasé el CCleaner.

Reinicié el ordenador y entonces no me funcionaba internet...
Después de trastear un pelín lo arreglé y ya me funcionaba internet...
No me salían (ni me salen) ventanas de publicidad, no me salían advertencias del NOD32, etc.

Y ahora me vuelve a salir la dichosa ventanita del gusano de internet...

¿Es peligroso ese gusano?
¿Cómo lo elimino¿

No sé si sirve para algo, pero os pongo un log del Hijackthis...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:49:07, on 03/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Java\jre6\bin\jusched.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\RocketDock\RocketDock.exe
C:\Archivos de programa\Stardock\CursorFX\CursorFX.exe
C:\Archivos de programa\Mega Fantasma\Main Screen\mainscreenssscore.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: "
O1 - Hosts: "
O1 - Hosts: "127.0.0.1 myomemo.com"
O1 - Hosts: "127.0.0.1 www.myomemo.com"
O1 - Hosts: 65.54.239.80 dp.msnmessenger.akadns.net
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [StartCCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Archivos de programa\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [CursorFX] "C:\Archivos de programa\Stardock\CursorFX\CursorFX.exe"
O4 - HKCU\..\Run: [Main Screen Screenshots System Core] C:\Archivos de programa\Mega Fantasma\Main Screen\mainscreenssscore.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Archivos de programa\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: Descargar con &BitSpirit - C:\Archivos de programa\BitSpirit\bsurl.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Barra de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: FlashCapture - {753BBC4B-CC73-4fb8-A5B5-CA09C804C1DD} - C:\Archivos de programa\FlashCapture\fciext.dll (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Archivos de programa\BitComet\tools\BitCometBHO_1.1.11.30.dll/206 (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab3.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\Archivos de programa\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: UPnPService - Magix AG - C:\Archivos de programa\Archivos comunes\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 9385 bytes

A ver si podéis hacer algo...

Saludos y gracias

razor · 3 Nov 2008

Pues si que hay bichos en ese log si...

1.- Activa la opcion "Ver archivos ocultos" en tu Windows
2.- Desactiva "Restaurar Sistema"
3.- Reinicia en modo a "Prueba de fallos"
4.- Borra:

O1 - Hosts: "
O1 - Hosts: "
O1 - Hosts: "127.0.0.1 myomemo.com"
O1 - Hosts: "127.0.0.1 www.myomemo.com"
O1 - Hosts: 65.54.239.80 dp.msnmessenger.akadns.net
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - (no file)

5.- Esta entrada:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Mira a ver si te la borra Hijack, sino me temo que habra que hacerla desde el registro de Windows...

6.- Tienes que borrar estas entradas tambien:

O9 - Extra button: FlashCapture - {753BBC4B-CC73-4fb8-A5B5-CA09C804C1DD} - C:\Archivos de programa\FlashCapture\fciext.dll (file missing)

O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Archivos de programa\BitComet\tools\BitCometBHO_1.1.11.30.dll/206 (file missing

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

6.- Vamos con esto:

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

Como no lo va a eliminar Hijack, necesitas bajar LSPFix de aqui: http://www.cexx.org/LSPFix.exe

haz doble click en el ejecutable , ahora ya podras borrarlo.

Eso es todo. Ejecuta tambien un scan con Kaspersky online.

Ya nos cuentas. Salu2!

dunanea · 3 Nov 2008

Elimina estas entradas, cierra todas las aplicaciones y vuelve a pegar el log :
O1 - Hosts: "
O1 - Hosts:
O1 - Hosts: "127.0.0.1 myomemo.com"
O1 - Hosts: "127.0.0.1 www.myomemo.com"
O1 - Hosts: 65.54.239.80 dp.msnmessenger.akadns.net
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: FlashCapture - {753BBC4B-CC73-4fb8-A5B5-CA09C804C1DD} - C:\Archivos de programa\FlashCapture\fciext.dll (file missing)
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Archivos de programa\BitComet\tools\BitCometBHO_1.1.11.30.dll/206 (file missing)

sakros · 4 Nov 2008

Hola de nuevo!

Ante todo, gracias.

He seguido los pasos que me indicásteis, pero he tenido un par de problemillas:

No puedo desactivar restaurar sistema, me aparece la casilla en gris y pone:
(deshabilitado por direct

Lo del ejecutable:
Lo he ejecutado (valga la redundancia) y me ha puesto que no se habían encontrado problemas, así que no he hecho nada más.

Este es el log actual del Hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:38:53, on 04/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\RocketDock\RocketDock.exe
C:\Archivos de programa\Stardock\CursorFX\CursorFX.exe
C:\Archivos de programa\Mega Fantasma\Main Screen\mainscreenssscore.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [StartCCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Archivos de programa\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [CursorFX] "C:\Archivos de programa\Stardock\CursorFX\CursorFX.exe"
O4 - HKCU\..\Run: [Main Screen Screenshots System Core] C:\Archivos de programa\Mega Fantasma\Main Screen\mainscreenssscore.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Archivos de programa\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: Descargar con &BitSpirit - C:\Archivos de programa\BitSpirit\bsurl.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Barra de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab3.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\Archivos de programa\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: UPnPService - Magix AG - C:\Archivos de programa\Archivos comunes\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 8584 bytes

Y este el del kaspersky:

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
martes, 04 de noviembre de 2008 17:30:20
Sistema operativo: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 4/11/2008
Registros en la base antivirus: 1227943
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: standard
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
C:\
H:\
I:\

Estadísticas:
Número de objeros analizados: 106955
Virus encontrados: 12
Objetos infectados: 30 / 0
Objetos sospechosos: 0
Duración del análisis: 00:52:22

Bombre del objeto infectado / Nombre del virus / Última acción
C:\Archivos de programa\Eset\infected\0Q1QEOAA.NQF Infectados: Trojan.Win32.DNSChanger.jyq saltado
C:\Archivos de programa\Eset\infected\3XTWP0BA.NQF/stream/data0001 Infectados: Trojan.Win32.Pakes.ler saltado
C:\Archivos de programa\Eset\infected\3XTWP0BA.NQF/stream Infectados: Trojan.Win32.Pakes.ler saltado
C:\Archivos de programa\Eset\infected\3XTWP0BA.NQF NSIS: infectado - 2 saltado
C:\Archivos de programa\Eset\infected\3XTWP0BA.NQF PE-Crypt.XorPE: infectado - 2 saltado
C:\Archivos de programa\Eset\infected\42KJTDDA.NQF Infectados: Trojan-Downloader.Win32.Agent.ahcg saltado
C:\Archivos de programa\Eset\infected\5XGK3ACA.NQF Infectados: Trojan.Win32.DNSChanger.jzt saltado
C:\Archivos de programa\Eset\infected\E3Q5HMCA.NQF Infectados: Trojan.Win32.StartPage.aza saltado
C:\Archivos de programa\Eset\infected\KTG20JAA.NQF Infectados: Trojan.Win32.DNSChanger.jwx saltado
C:\Archivos de programa\Eset\infected\LCQG5PAA.NQF/stream/data0001 Infectados: Trojan.Win32.Pakes.ler saltado
C:\Archivos de programa\Eset\infected\LCQG5PAA.NQF/stream Infectados: Trojan.Win32.Pakes.ler saltado
C:\Archivos de programa\Eset\infected\LCQG5PAA.NQF NSIS: infectado - 2 saltado
C:\Archivos de programa\Eset\infected\LCQG5PAA.NQF PE-Crypt.XorPE: infectado - 2 saltado
C:\Archivos de programa\Eset\infected\PY1Z0QDA.NQF Infectados: Trojan.Win32.DNSChanger.kbs saltado
C:\Archivos de programa\Eset\infected\UFTGMSDA.NQF Infectados: Trojan.Win32.StartPage.bla saltado
C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\MSHist012008110420081105\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\Administrador\NTUSER.DAT.LOG Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Dr Watson\user.dmp Object is locked saltado
C:\Documents and Settings\Fran\Mis documentos\FOTOS\Setas\marzuelo1.jpg Object is locked saltado
C:\Documents and Settings\Fran\Mis documentos\FOTOS\Setas\marzuelo2.jpg Object is locked saltado
C:\Documents and Settings\Fran\Mis documentos\FOTOS\Setas\marzuelo3.jpg Object is locked saltado
C:\Documents and Settings\Fran\Mis documentos\FOTOS\Setas\marzuelo4.jpg Object is locked saltado
C:\Documents and Settings\Fran\Mis documentos\Mis imágenes\Opposite Lock - Coches\16_nipples_99351.jpg Object is locked saltado
C:\Documents and Settings\Fran\Mis documentos\Mis imágenes\Opposite Lock - Coches\Megan Foxjpg Object is locked saltado
C:\Documents and Settings\Fran\Mis documentos\Mis imágenes\Opposite Lock - Coches\Veyron Grand Sportjpg Object is locked saltado
C:\Documents and Settings\Fran\Mis documentos\Mis imágenes\Sin nombre.jpg Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT.LOG Object is locked saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\System Volume Information\_restore{B7B436F6-45BC-420C-8FD4-07FF5A1C20EA}\RP12\A0004073.inf Infectados: Worm.Win32.AutoRun.nuu saltado
C:\System Volume Information\_restore{B7B436F6-45BC-420C-8FD4-07FF5A1C20EA}\RP14\A0004751.exe Infectados: Trojan-Downloader.Win32.Zlob.zib saltado
C:\System Volume Information\_restore{B7B436F6-45BC-420C-8FD4-07FF5A1C20EA}\RP14\A0004752.exe Infectados: Trojan-Downloader.Win32.Zlob.zib saltado
C:\System Volume Information\_restore{B7B436F6-45BC-420C-8FD4-07FF5A1C20EA}\RP14\change.log Object is locked saltado
C:\System Volume Information\_restore{B7B436F6-45BC-420C-8FD4-07FF5A1C20EA}\RP3\A0000215.inf Infectados: Worm.Win32.AutoRun.nuu saltado
C:\System Volume Information\_restore{B7B436F6-45BC-420C-8FD4-07FF5A1C20EA}\RP3\A0000274.inf Infectados: Worm.Win32.AutoRun.nuu saltado
C:\System Volume Information\_restore{B7B436F6-45BC-420C-8FD4-07FF5A1C20EA}\RP4\A0000357.inf Infectados: Worm.Win32.AutoRun.nuu saltado
C:\System Volume Information\_restore{B7B436F6-45BC-420C-8FD4-07FF5A1C20EA}\RP4\A0000444.inf Infectados: Worm.Win32.AutoRun.nuu saltado
C:\System Volume Information\_restore{B7B436F6-45BC-420C-8FD4-07FF5A1C20EA}\RP5\A0000487.inf Infectados: Worm.Win32.AutoRun.nuu saltado
C:\System Volume Information\_restore{B7B436F6-45BC-420C-8FD4-07FF5A1C20EA}\RP5\A0000625.inf Infectados: Worm.Win32.AutoRun.nuu saltado
C:\System Volume Information\_restore{B7B436F6-45BC-420C-8FD4-07FF5A1C20EA}\RP5\A0000676.inf Infectados: Worm.Win32.AutoRun.nuu saltado
C:\System Volume Information\_restore{B7B436F6-45BC-420C-8FD4-07FF5A1C20EA}\RP5\A0000687.inf Infectados: Worm.Win32.AutoRun.nuu saltado
C:\System Volume Information\_restore{B7B436F6-45BC-420C-8FD4-07FF5A1C20EA}\RP6\A0000786.inf Infectados: Worm.Win32.AutoRun.nuu saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\config\ACEEvent.evt Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\Internet.evt Object is locked saltado
C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado
C:\WINDOWS\system32\config\OSession.evt Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\Temp\tmp8A5.tmp Infectados: Trojan.Win32.Agent.akwc saltado
H:\Sakros\Descargas\Andy\Otros\Symantec Norton 2008 ****** Keygen.rar/Norton 2008 ****** Keygen.exe Infectados: Backdoor.Win32.Shark.ap saltado
H:\Sakros\Descargas\Andy\Otros\Symantec Norton 2008 ****** Keygen.rar RAR: infectado - 1 saltado
H:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

Análisis completado.

Saludos

gorosy · 4 Nov 2008

Hola sakros.
veo que tienes el Nod32,no se si lo tendras bien configurado.
aqui te dejo este enlace que explican perfectamente como configurarlo
correctamente y asi evitar que se te cuele nada .
pasale luego el Nod32 scanner con el perfil que has creado haber si te lo elimina.

NOD32 Antivirus configuración configure NOD 32

SL2.

indy · 4 Nov 2008

Hola sakros, a ver si te puedo ayudar.

Vamos a ver si podemos reparar "Restaurar Sistema", para ello vamos a utilizar este programa:
regunlocker

Si ha funcionado:
1.- Activa la opcion "Ver archivos ocultos" en tu Windows
2.- Desactiva "Restaurar Sistema"
3.- Reinicia en modo a "Prueba de fallos"

Intenta borrar ésto:

H:\Sakros\Descargas\Andy\Otros\Symantec Norton 2008 ****** Keygen.rar RAR

Además, debes vaciar la cuarentena del NOD32:
C:\Archivos de programa\Eset\infected (no borres la carpeta, sólo lo que hay dentro)

Reinicia y haz de nuevo un scan con Kaspersky online.

Nos comentas, saludos!!!!

sakros · 4 Nov 2008

Gracias indy!
Ya he deshabilitado restaurar sistema con el programa.
Resulta que ahora, cuando entro en modo a prueba de fallos, abro el disco H: y me pone error:
C:\resycled\boot.com no es una aplicación valida de win32...
Y lo mismo con el disco C:
Y ahora me pasa siempre...
¿Qué hago?

Saludos

P.D:

jiji, ahora ya se sabe mi nombre...

indy · 4 Nov 2008

Hola de nuevo.
Léete ésto.

Nos cuentas, saludos!!!

razor · 4 Nov 2008

Pues ahora tienes el virus en el autorun xDDDDDD cojonudo. Pasale esto: ewido - anti-spyware and anti-malware solutions creo que ya te quitara el dichoso autorun ese.

Ya nos cuentas. Salu2

sakros · 4 Nov 2008

Hola!
Bueno, no me deja abrir los discos pero si escribo la dirección me va;
ahora he borrado los archivos en cuarentena del nod32 y el malwarebytes me ha detectado el virus nuevo, aunque acabo de ver que me dice lo mismo en otras palabras, ahora xD

Estoy pasándole el kaspersky online scanner, ya os contaré los resultados.

Saludos

razor · 4 Nov 2008

Ok, nos cuentas, sino sigue el proceso que te marca indy. Salu2

sakros · 4 Nov 2008

Bueno, se ve que el ewido no lo ha solucionado; ya os contaré algo.

Saludos

razor · 4 Nov 2008

Ok, haz lo que muestra el hilo de indy. Estamos pendientes!

sakros · 5 Nov 2008

Seguí los pasos del primer post.
Ejecuté el Flash Disinfector y en menos de dos segundos me dijo acabado.
Pasé el Malwarebytes y me dijo 0 infecciones :neutral:
Luego pasé el CCleaner y ahora estoy haciendo un escaneado con el Kaspersky online.
De momento parece que se ha solucionado, porque puedo abrir los dos discos perfectamente

Luego os pongo todos los logs que tengo, por si acaso.

Saludos

sakros · 5 Nov 2008

Pues NADA
Me acaba de salir otra ventanita del NOD32...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:14:18, on 05/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Archivos de programa\RocketDock\RocketDock.exe
C:\Archivos de programa\Stardock\CursorFX\CursorFX.exe
C:\Archivos de programa\Mega Fantasma\Main Screen\mainscreenssscore.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Documents and Settings\Andy\Escritorio\Andy\Descargas\Otros\TrayIt!\trayit_4_6_5_5\TrayIt!.exe
C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [StartCCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Archivos de programa\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [CursorFX] "C:\Archivos de programa\Stardock\CursorFX\CursorFX.exe"
O4 - HKCU\..\Run: [Main Screen Screenshots System Core] C:\Archivos de programa\Mega Fantasma\Main Screen\mainscreenssscore.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Archivos de programa\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: TrayIt!.lnk = C:\Documents and Settings\Andy\Escritorio\Andy\Descargas\Otros\TrayIt!\trayit_4_6_5_5\TrayIt!.exe
O8 - Extra context menu item: Descargar con &BitSpirit - C:\Archivos de programa\BitSpirit\bsurl.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Barra de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab3.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\Archivos de programa\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: UPnPService - Magix AG - C:\Archivos de programa\Archivos comunes\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 8932 bytes

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
miércoles, 05 de noviembre de 2008 19:10:40
Sistema operativo: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 5/11/2008
Registros en la base antivirus: 1228331
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: standard
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
C:\
H:\
I:\

Estadísticas:
Número de objeros analizados: 104517
Virus encontrados: 2
Objetos infectados: 2 / 0
Objetos sospechosos: 0
Duración del análisis: 00:59:56

Bombre del objeto infectado / Nombre del virus / Última acción
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\logs\sw_ae-20081105-174330.log Object is locked saltado
C:\Archivos de programa\Eset\cache\CACHE.NDB Object is locked saltado
C:\Archivos de programa\Eset\logs\virlog.dat Object is locked saltado
C:\Archivos de programa\Eset\logs\warnlog.dat Object is locked saltado
C:\autorun.inf Infectados: Worm.Win32.AutoRun.nuu saltado
C:\Documents and Settings\Andy\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado
C:\Documents and Settings\Andy\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Andy\Configuración local\Datos de programa\Microsoft\Messenger\[email protected]\SharingMetadata\Logs\Dfsr00005.log Object is locked saltado
C:\Documents and Settings\Andy\Configuración local\Datos de programa\Microsoft\Messenger\[email protected]\SharingMetadata\pending.dat Object is locked saltado
C:\Documents and Settings\Andy\Configuración local\Datos de programa\Microsoft\Messenger\[email protected]\SharingMetadata\Working\database_204C_C14B_4CC1_1D02\dfsr.db Object is locked saltado
C:\Documents and Settings\Andy\Configuración local\Datos de programa\Microsoft\Messenger\[email protected]\SharingMetadata\Working\database_204C_C14B_4CC1_1D02\fsr.log Object is locked saltado
C:\Documents and Settings\Andy\Configuración local\Datos de programa\Microsoft\Messenger\[email protected]\SharingMetadata\Working\database_204C_C14B_4CC1_1D02\fsrtmp.log Object is locked saltado
C:\Documents and Settings\Andy\Configuración local\Datos de programa\Microsoft\Messenger\[email protected]\SharingMetadata\Working\database_204C_C14B_4CC1_1D02\tmp.edb Object is locked saltado
C:\Documents and Settings\Andy\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\Andy\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\Andy\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\[email protected]\real\members.stg Object is locked saltado
C:\Documents and Settings\Andy\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\[email protected]\shadow\members.stg Object is locked saltado
C:\Documents and Settings\Andy\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\jamncrv5.default\Cache\_CACHE_001_ Object is locked saltado
C:\Documents and Settings\Andy\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\jamncrv5.default\Cache\_CACHE_002_ Object is locked saltado
C:\Documents and Settings\Andy\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\jamncrv5.default\Cache\_CACHE_003_ Object is locked saltado
C:\Documents and Settings\Andy\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\jamncrv5.default\Cache\_CACHE_MAP_ Object is locked saltado
C:\Documents and Settings\Andy\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\jamncrv5.default\urlclassifier3.sqlite Object is locked saltado
C:\Documents and Settings\Andy\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Andy\Configuración local\Historial\History.IE5\MSHist012008110520081106\index.dat Object is locked saltado
C:\Documents and Settings\Andy\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\Andy\Datos de programa\Mozilla\Firefox\Profiles\jamncrv5.default\cert8.db Object is locked saltado
C:\Documents and Settings\Andy\Datos de programa\Mozilla\Firefox\Profiles\jamncrv5.default\content-prefs.sqlite Object is locked saltado
C:\Documents and Settings\Andy\Datos de programa\Mozilla\Firefox\Profiles\jamncrv5.default\cookies.sqlite Object is locked saltado
C:\Documents and Settings\Andy\Datos de programa\Mozilla\Firefox\Profiles\jamncrv5.default\downloads.sqlite Object is locked saltado
C:\Documents and Settings\Andy\Datos de programa\Mozilla\Firefox\Profiles\jamncrv5.default\formhistory.sqlite Object is locked saltado
C:\Documents and Settings\Andy\Datos de programa\Mozilla\Firefox\Profiles\jamncrv5.default\key3.db Object is locked saltado
C:\Documents and Settings\Andy\Datos de programa\Mozilla\Firefox\Profiles\jamncrv5.default\parent.lock Object is locked saltado
C:\Documents and Settings\Andy\Datos de programa\Mozilla\Firefox\Profiles\jamncrv5.default\permissions.sqlite Object is locked saltado
C:\Documents and Settings\Andy\Datos de programa\Mozilla\Firefox\Profiles\jamncrv5.default\places.sqlite Object is locked saltado
C:\Documents and Settings\Andy\Datos de programa\Mozilla\Firefox\Profiles\jamncrv5.default\places.sqlite-journal Object is locked saltado
C:\Documents and Settings\Andy\Datos de programa\Mozilla\Firefox\Profiles\jamncrv5.default\search.sqlite Object is locked saltado
C:\Documents and Settings\Andy\Mis documentos\Mis archivos recibidos\MsnMsgr.txt Object is locked saltado
C:\Documents and Settings\Andy\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\Andy\NTUSER.DAT.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT.LOG Object is locked saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\System Volume Information\_restore{B7B436F6-45BC-420C-8FD4-07FF5A1C20EA}\RP3\change.log Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado
C:\WINDOWS\Sti_Trace.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\config\ACEEvent.evt Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\Internet.evt Object is locked saltado
C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado
C:\WINDOWS\system32\config\OSession.evt Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado
C:\WINDOWS\system32\h323log.txt Object is locked saltado
C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\Temp\IH8911.tmp Object is locked saltado
C:\WINDOWS\Temp\IH927F.tmp Object is locked saltado
C:\WINDOWS\Temp\Perflib_Perfdata_59c.dat Object is locked saltado
C:\WINDOWS\Temp\tmp165.tmp Object is locked saltado
C:\WINDOWS\Temp\tmp168.tmp Infectados: Trojan.Win32.Agent.akwc saltado
C:\WINDOWS\Temp\~DF86DB.tmp Object is locked saltado
C:\WINDOWS\Temp\~DF86E2.tmp Object is locked saltado
C:\WINDOWS\Temp\~DFAFA1.tmp Object is locked saltado
C:\WINDOWS\Temp\~DFAFA8.tmp Object is locked saltado
C:\WINDOWS\wiadebug.log Object is locked saltado
C:\WINDOWS\wiaservc.log Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado
H:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

Análisis completado.

Saludos

razor · 5 Nov 2008

Bien, vamos mejorando, ya solo tenemos 2 bichejos:

C:\autorun.inf Infectados: Worm.Win32.AutoRun.nuu saltado
C:\WINDOWS\Temp\tmp168.tmp Infectados: Trojan.Win32.Agent.akwc

¿Puedes borrar los archivos de esas 2 localizaciones? Entra en modo a prueba de fallos....

Nota: TE falta bajar SuperAntispyware ( SUPERAntiSpyware.com - Downloading File ) y DelPSGuard ( Eliminar familia PSGuard, AntiVirGear, VirusProtectPro, Antivirus 2009, SpyLocked - Foro de Spyware )

Es importante que tambien los ejecutes. Salu2

sakros · 6 Nov 2008

Hola!

De dónde saco el DelPSGuard?

No lo encuentro por ahí...

Saludos

dunanea · 6 Nov 2008

Puedes descargarlo desde aqui:
Descargar DelPSGuard gratis
Saludos

dunanea · 6 Nov 2008

Si no funciona ese enlace prueba con este otro:
http://www.forospyware.com/attachments/forum16/1435d1224919474-delpsguard.zip

indy · 6 Nov 2008

Hola a tod@s.

La cosa va mejorando

Veo que ya pasaste el Flash Disinfector, supongo que hiciste el proceso correcto, es decir, primero ejecutarlo con todos los medios extraibles (pendrive, etc,...) desconectados, y luego de conectarlos ejecutarlo nuevamente.

Bien, sigamos con los pasos que te han indicado; para poder descargar DelPSGuard debes registrarte, ya de paso, bájate también ATF-Cleaner. Del SuperAntiSpyware supongo que no habrás tenido problemas para conseguirlo...

.- Reinicia en modo seguro. Ve a Inicio/ejecutar, escribe %TEMP%, ahora se abrirá la carpeta "Temp"; borra su contenido, pero no borres la carpeta "Temp"
.- Ejecuta ATF-Cleaner, marca la opción "Select All", a continuación pulsa sobre "Empty Selected"
.- Pasa el SuperAntispyware y elimina lo que encuentre
.- Pasa el DelPSGuard
.- Pásale también el Ccleaner tanto en modo limpiador como registro

Reinicia en modo normal y haz un nuevo escaneo con Kasperky online para ver los resultados, a ver si acabamos con el bicho.

Nos comentas, un saludo!!!

Problema Gusano de internet (SOLUCIONADO)

Usuario Avanzado

Administrador Global del Foro

Residente

Usuario Avanzado

Moderator

Administrador del Foro

Usuario Avanzado

Administrador del Foro

Administrador Global del Foro

Usuario Avanzado

Administrador Global del Foro

Usuario Avanzado

Administrador Global del Foro

Usuario Avanzado

Usuario Avanzado

Administrador Global del Foro

Usuario Avanzado

Residente

Residente

Administrador del Foro