[AYUDA] Virtumonde

proba lo que se menciona en el siguiente enlace
virtumonde se reinstala

slds

Te paso en limpio la solución que te dió Quicksilver88, ya que en el link aparece dividida en dos mensajes. Imprimí estas instrucciones:


1) Bajá estos programas:

- FileASSASSIN: http://fileassassin.softonic.com/descargar o http://fileassassin.uptodown.com

- CCleaner: http://ccleaner.softonic.com

- SuperAntiSpyware: http://superantispyware.softonic.com

- VundoFix.exe: http://vundofix.atribune.org (donde dice "Download VundoFix" )

- VirtumundoBeGone: http://secured2k.home.comcast.net/to...undoBeGone.exe


2) Instalalos y actualizá SuperAntispyware, VundoFix.exe y VirtumundoBeGone.


3) Desconectate de Internet.


4) Activá Mostrar todos los archivos y carpetas ocultos: Inicio > Programas > Accesorios > Explorador de Windows y ahí vas a la solapa Herramientas > Opciones de carpeta > Ver y tildá donde dice Mostrar todos los archivos y carpetas ocultos, luego le das Aplicar y después Aceptar (en ese orden por favor!!!).


5) Desactivá Restaurar Sistema: vas a Inicio > Configuración > Panel de Control > Sistema > Restaurar Sistema y allí tildás Desactivar Restaurar Sistema.


6) Iniciá tu PC en Modo Seguro (cuando tu PC arranca tenés que apretar F8 en forma sucesiva. Te aparece una pantalla negra con letras blancas: elegí la opción Modo Seguro. Luego aparece un mensaje de advertencia al iniciar Windows, dale Aceptar). Si no podés acceder a Modo Seguro, hacelo en modo normal de esta forma (de lo contrario andá al paso 7):

Inicio ->> Ejecutar ->> tipeá MSCONFIG ->> dale Enter
a.- Desde la solapa Servicios activa la casilla Ocultar todos los Servicios de Microsoft
b.- Presioná el botón Deshabilitar todos
c.- Desde la solapa Inicio presioná el botón Deshabilitar todos
d.- Presioná los botones en este orden: 1° Aplicar , 2° Cerrar , 3° Reiniciar

(si elegiste esta opción, al finalizar todos los escaneos volvé a habilitar todo lo que deshabilitaste recién, y reiniciá).


7) Borrá estas entradas del HJT con Fix checked:

O2 - BHO: (no name) - {3055295A-CCDD-44B2-9F73-D8E8E626E5C1} - C:\WINDOWS\system32\cbxurss.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {83CEA5E2-13AE-43F5-A230-B2FC53B2B437} - C:\WINDOWS\system32\mlljj.dll (file missing)

O4 - HKLM\..\Run: [7c917962] rundll32.exe "C:\WINDOWS\system32\ngjgpvwh.dll",b

O4 - HKLM\..\Run: [BM7fa24afe] Rundll32.exe "C:\WINDOWS\system32\gkwlkvde.dll",s

O4 - HKLM\..\RunOnce: [SpybotDeletingA6032] command /c del "C:\WINDOWS\system32\gkwlkvde.dll_old"

O4 - HKLM\..\RunOnce: [SpybotDeletingC6608] cmd /c del "C:\WINDOWS\system32\gkwlkvde.dll_old"

O4 - HKLM\..\RunOnce: [SpybotDeletingA9438] command /c del "C:\WINDOWS\system32\mlljj.dll_old"

O4 - HKLM\..\RunOnce: [SpybotDeletingC7693] cmd /c del "C:\WINDOWS\system32\mlljj.dll_old"

O4 - HKLM\..\RunOnce: [SpybotDeletingA3471] command /c del "C:\WINDOWS\system32\ngjgpvwh.dll_old"

O4 - HKLM\..\RunOnce: [SpybotDeletingC2514] cmd /c del "C:\WINDOWS\system32\ngjgpvwh.dll_old"

O4 - HKLM\..\RunOnce: [SpybotDeletingA2167] command /c del "C:\WINDOWS\system32\srxnrmmr.dll_old"

O4 - HKLM\..\RunOnce: [SpybotDeletingC895] cmd /c del "C:\WINDOWS\system32\srxnrmmr.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB6727] command /c del "C:\WINDOWS\system32\gkwlkvde.dll_old"

O4 - HKCU\..\RunOnce: [SpybotDeletingD9967] cmd /c del "C:\WINDOWS\system32\gkwlkvde.dll_old"

O4 - HKCU\..\RunOnce: [SpybotDeletingB4523] command /c del "C:\WINDOWS\system32\mlljj.dll_old"

O4 - HKCU\..\RunOnce: [SpybotDeletingD7327] cmd /c del "C:\WINDOWS\system32\mlljj.dll_old"

O4 - HKCU\..\RunOnce: [SpybotDeletingB1474] command /c del "C:\WINDOWS\system32\ngjgpvwh.dll_old"

O4 - HKCU\..\RunOnce: [SpybotDeletingD2439] cmd /c del "C:\WINDOWS\system32\ngjgpvwh.dll_old"

O4 - HKCU\..\RunOnce: [SpybotDeletingB9173] command /c del "C:\WINDOWS\system32\srxnrmmr.dll_old"

O4 - HKCU\..\RunOnce: [SpybotDeletingD7819] cmd /c del "C:\WINDOWS\system32\srxnrmmr.dll_old"O20 - Winlogon Notify: cbxurss - C:\WINDOWS\SYSTEM32\cbxurss.dll


8) Borrá todos los archivos correspondientes a las entradas que te acabo de mencionar arriba, excepto por estas entradas:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {83CEA5E2-13AE-43F5-A230-B2FC53B2B437} - C:\WINDOWS\system32\mlljj.dll (file missing)


9) Borá los temporales y el registro con el CCleaner.


10) Ejecutá de a uno a la vez:

- SuperAntiSpyware, borrá todo lo que aparezca.

- VundoFix.exe:
* Hacé Doble-click al archivo VundoFix.exe para activarlo.
* Cuando VundoFix se abre de nuevo, presioná el botón de Scan for Vundo
* Cuando termina el escaneo, presioná el botón de Remove Vundo
* Cuando aparece el mensaje preguntado si querés quitar los archivos y dale YES
* El escritorio parpadea en blanco mientras elimina el Vundo.
* Cuando termina, elegí OK y reiniciá en Modo Seguro.

- VirtumundoBeGone


11) Borrá los archivos que el NOD32 te indicó como infectados si quedó alguno (con el FileASSASSIN si es necesario).


12) Reiniciá nuevamente en Modo Seguro y hacé un escaneo con SuperAntiSpyware y NOD32. Guardá los resultados y borrá todo lo que aparezca.


13) Posteá todos los resultados y un nuevo log del HJT.


Saludos!

Ok...intente hacerlo lo mejor que pude, igual tuve un inconveniente a la hora de usar NOD32 en el Modo Seguro...por alguna razon no me abre...pero el escaneo lo hice igual, iniciando normalmente....

Aca estan los logs que me quedaron.....

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 04/29/2008 at 09:57 PM

Application Version : 4.0.1154

Core Rules Database Version : 3450
Trace Rules Database Version: 1442

Scan type : Complete Scan
Total Scan Time : 00:26:40

Memory items scanned : 157
Memory threats detected : 0
Registry items scanned : 4589
Registry threats detected : 0
File items scanned : 13314
File threats detected : 0


---------------------------------------------------------
NOD32

Comienzo: 29/04/2008 22:00:53 p.m.
Registro de sucesos
NOD32 Scanner versión 3064 (20080429) NT
- Está correcto en memoria operativa
en el sector MBR del disco físico 3 - Error leyendo sector de disco

Fecha: 29.4.2008 hora: 22:01:03
La Tecnología Anti-Stealth está activada.
Discos, carpetas y archivos analizados: C:
C:\pagefile.sys - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\NTUSER.DAT - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\ntuser.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\NTUSER.DAT - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\ntuser.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\Propietario\NTUSER.DAT - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\Propietario\ntuser.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\Propietario\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\Propietario\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\System Volume Information\MountPointManagerRemoteDatabase - Error abriendo archivo (Acceso denegado) [4]
C:\WINDOWS\SoftwareDistribution\EventCache\{2C1E9E C8-A22D-4551-A7CC-9CC104356DFF}.bin - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\CatRoot2\edb.log - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\CatRoot2\edbtmp.log - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\CatRoot2\tmp.edb - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\default - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\default.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SAM - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SAM.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SECURITY - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SECURITY.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\software - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\software.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\system - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\system.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
Cantidad de archivos analizados: 67511
Cantidad de amenazas detectadas: 0
Hora de finalización: 22:15:32 . Tiempo total de análisis: 869 seg (00:14:29)

Notas:
[4] El archivo no puede ser abierto. Es usado en exclusividad por otra aplicación.


------------------------
HijackThis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:21:18 p.m., on 29/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe
C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA CL.EXE
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\ASUS WiFi-AP Solo\RtWLan.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wpabaln.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Archivos de programa\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [EPSON Stylus CX3700 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA CL.EXE /P26 "EPSON Stylus CX3700 Series" /O6 "USB001" /M "Stylus CX3700"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1208673324828
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7283 bytes



GRACIAS POR LA AYUDA...
aunque todavia tengo que ver como anda despues de un rato....

- El archivo E_FATIA CL.EXE ( C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA CL.EXE ) no estaba en el primer log. Se supone que corresponde a los drivers de la multifuncion Epson CX3700. Verificalo por favor.


- El log parece estar limpio.


- Estos procesos que se ejecutan al inicio y corren como residentes, no son indispensables y te consumen recursos; si te parece, fijate cuales no querés y borrá las entradas desde el HJT con Fix checked:

O4 - HKLM\..\Run: [TkBellExe] \"C:\Archivos de programa\Archivos comunes\Real\Update_OB \realsched.exe\" -osboot

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware \SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] \"C:\Archivos de programa\Adobe\Reader 8.0 \Reader\Reader_sl.exe\"

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration \Adobe Gamma Loader.exe


- Es raro que el NOD32 no se ejecute en modo seguro. Como tu PC estuvo infectada, te recomiendo buscar los cambios que produce la infección de ese virus y repararlos manualmente.


- Luego hacé un escaneo on-line como te indico (imprimilo):

1) Activá Mostrar todos los archivos y carpetas ocultos: Inicio > Programas > Accesorios > Explorador de Windows y ahí vas a la solapa Herramientas > Opciones de carpeta > Ver y tildá donde dice Mostrar todos los archivos y carpetas ocultos, luego le das Aplicar y después Aceptar (en ese orden por favor!!!).


2) Desactivá Restaurar Sistema: vas a Inicio > Configuración > Panel de Control > Sistema > Restaurar Sistema y allí tildás Desactivar Restaurar Sistema.


3) Iniciá tu PC en Modo Seguro con acceso a red (cuando tu PC arranca tenés que apretar F8 en forma sucesiva. Te aparece una pantalla negra con letras blancas: elegí la opción Modo Seguro con acceso a red. Luego aparece un mensaje de advertencia al iniciar Windows, dale Aceptar). Si no podés acceder a Modo Seguro con acceso a red, hacelo en modo normal de esta forma (de lo contrario andá al paso 4):

Inicio ->> Ejecutar ->> tipeá MSCONFIG ->> dale Enter
a.- Desde la solapa Servicios activa la casilla Ocultar todos los Servicios de Microsoft
b.- Presioná el botón Deshabilitar todos
c.- Desde la solapa Inicio presioná el botón Deshabilitar todos
d.- Presioná los botones en este orden: 1° Aplicar , 2° Cerrar , 3° Reiniciar

(si elegiste esta opción, al finalizar todos los escaneos volvé a habilitar todo lo que deshabilitaste recién, y reiniciá).


4) Iniciá el antivirus y el firewall para estar protegido.


5) Hacé un escaneo on-line en dos de estos sitios, guardá los resultados y borrá todo lo que aparezca:

- Kaspersky : http://www.kaspersky.com/sp/virusscanner

- Panda : http://www.activescan.com.ar

- Trend Micro : http://housecall.trendmicro.com , donde dice "Scan Now. It´s Free!"

- Symantec : http://security.symantec.com/sscv6/d...d=ie&venid=sym


6) Posteá todos los resultados y un nuevo log del HJT.


Saludos!

ya paso un tiempo , pero si sigues con elmproblema descarga el malawarebytes'antimalaware
del sgte enlace , http://www.infospyware.com/Anti-Malwares.htm ,yo tuve un problema con el viturmonde y este fue el unico que lo elimino su .exe
ya que el spyboot u otros lo hacian pero lo volvian a detectar con un nombre nuevo .
cuando lo elimines en modo seguro con funciones d' red ,claro esta, verifica que no tengas procesos con extenxsion dll_old ya que pueden ser rezagos, por si no sabes como localizarlo , te recomiendo el residente del spyboot , ademasque el tu internet ya no se mostraarn esos popups molestos.
buenop ojala te sirva
.......................hasta la vista

gracias a todos, ya pude resolver el problema