Y seguimos con + VIRTUMONDE

Te comento, hice todo lo que me dijiste, borre estas entradas con file assasin

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'Servicio de red')

otra cosa, no aparece estando abierto el nod en los procesos del administrador de tareas, aca te dejo un scan:



Y esta configurado tal cual el videotuto q me pasaste.

El SuperAS no me tiro ningun archivo malicioso.

Y del Kaspersky borre solo un archivo el primer, los otros que dicen no-virus no sabia si borrarlos, aca te dejo el log: (osea borre solo este Infectados: Trojan.Win32.Vaklik.cqf )

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \Cache\_CACHE_001_ Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \Cache\_CACHE_002_ Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \Cache\_CACHE_003_ Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \Cache\_CACHE_MAP_ Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \urlclassifier3.sqlite Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\MSHist0120080806200808 07\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \cert8.db Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \content-prefs.sqlite Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \cookies.sqlite Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \downloads.sqlite Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \formhistory.sqlite Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \key3.db Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \parent.lock Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \permissions.sqlite Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \places.sqlite Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \places.sqlite-journal Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \search.sqlite Object is locked saltado
C:\Documents and Settings\Administrador\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\Administrador\NTUSER.DAT.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT.LOG Object is locked saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\System Volume Information\_restore{CF62739A-ED77-435B-8A22-21BD9E7CD439}\RP19\A0001170.exe Infectados: Trojan.Win32.Vaklik.cqf saltado
C:\System Volume Information\_restore{CF62739A-ED77-435B-8A22-21BD9E7CD439}\RP19\change.log Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\Internet.evt Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\Temp\etilqs_kjXeyVVTWaV6AdsfnIf2 Object is locked saltado
D:\post format\PostFormat.iso/COMPLEM/keyfinder.exe;1/data.rar/xpkey.exe Infectados: not-a-virus:PSWTool.Win32.RAS.g saltado
D:\post format\PostFormat.iso/COMPLEM/keyfinder.exe;1/data.rar/officekey.exe Infectados: not-a-virus:PSWTool.Win32.RAS.a saltado
D:\post format\PostFormat.iso/COMPLEM/keyfinder.exe;1/data.rar Infectados: not-a-virus:PSWTool.Win32.RAS.a saltado
D:\post format\PostFormat.iso/COMPLEM/keyfinder.exe;1 Infectados: not-a-virus:PSWTool.Win32.RAS.a saltado
D:\post format\PostFormat.iso ISOimage: infectado - 4 saltado
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
D:\System Volume Information\_restore{CF62739A-ED77-435B-8A22-21BD9E7CD439}\RP19\change.log Object is locked saltado


Y una duda que me agarro ahora, restaurar sistema esta activado o no? pq no me deja desactivarlo, debe ser por el windows desatendido UE, creo que ahí esta desactivado, vos que decis, scan:



como siempre muchas gracias capo!

- Te olvidaste de poner el resumen del rusultado del escaneo que te da el Kaspersky, pero imagino que todo aparece en el detalle que pegaste.


- Nunca usé un desatendido, pero pensé que no tenían activada la opción Restaurar Sistema. Los puntos de restauración se guardan en los directorios C:\System Volume Information y D:\System Volume Information\, y aparecen en tu PC:

C:\System Volume Information\_restore{CF62739A-ED77-435B-8A22-21BD9E7CD439}\RP19\A0001170.exe Infectados: Trojan.Win32.Vaklik.cqf saltado
C:\System Volume Information\_restore{CF62739A-ED77-435B-8A22-21BD9E7CD439}\RP19\A0001170.exe Infectados: Trojan.Win32.Vaklik.cqf saltado
D:\post format\PostFormat.iso

Si borraste estos archivos, olvidate de este punto, de lo contrario fijate de hacer lo que te digo. Fijate que algunos archivos infectados aparecen es esos directorios, pero no se pueden desinfectar ni borrar porque están protegidos. Ya que no podés desactivar Restaurar Sistema, fijate si podés ir a la Configuración en esa misma pantalla y ahí reducís al mínimo el espacio asignado a Restaurar Sistema.


- También existe una infección en la imagen D:\post format\PostFormat.iso , pero corresponde a un keyfinder, por lo que no es algo peligroso.


- Lo que más me preocupa es que el NOD32 no esté activado porque te va a provocar una infección. ¿Qué versión tenés instalada? Yo instalaría el AVG 8 que no se pelea con el NOD32 y activaría toda su protección hasta que se resuelva lo del NOD32.


Saludos!

Sisisi restaurar sistema esta desactivado, ahi lo active con el cd de windows y ahora me dio la opción para desactivarlo.

Otra cosa, el nod32 esta activado en tiempo real todo el dia, solo nose pq no aparece en los procesos.. mmm

Bueno, si ya desactivase Rstaurar Sistema, pasá el Ccleaner para borrar cualquier cosa que pueda haber quedado.

Si el NOD32 está en el extremo derecho de tu barra de herramientas y aparecen activos (en color azul y no gris) todos los Módulos de protección, entonces está activado.

Saludos!

otra cosa busque estas rutas: C:\System Volume Information\_restore{CF62739A-ED77-435B-8A22-21BD9E7CD439}\RP19\A0001170.exe Infectados: Trojan.Win32.Vaklik.cqf saltado C:\System Volume Information\_restore{CF62739A-ED77-435B-8A22-21BD9E7CD439}\RP19\A0001170.exe Infectados: Trojan.Win32.Vaklik.cqf saltado con el file assasins y no las encuentra. Y reemplace el adm de tareas por el porcess explorer y si aparece el nod bajo el nombre de egui.exe, cap:

Te dije que el directorio C:\System Volume Information\ corresponde a Restaurar Sistema. Ahora que está desactivado, desapareció. Todo parece estar en orden.

Me agradeciste varias veces, pero me olvidé de decirte de nada .

Saludos!

muchas gracias MM ahora anda todo de 10. por ultimo dejo el ultimo log del HJT x si hay algo de sobra q borrar. gracias!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:49:43, on 07/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe
C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\kek.exe
C:\Archivos de programa\Stardock\ObjectDock\ObjectDock.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsue.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.windowsue.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsue.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: {2f3a6a43-9764-3a3a-a7b4-34473cc73572} - {27537cc3-7443-4b7a-a3a3-467934a6a3f2} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [kek] c:\WINDOWS\system32\kek.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = C:\Archivos de programa\Stardock\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish...an_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Archivos de programa\WinPcap\rpcapd.exe

--
End of file - 5537 bytes

En modo seguro borrá con el HJT:

- esta entrada perdida: O2 - BHO: {2f3a6a43-9764-3a3a-a7b4-34473cc73572} - {27537cc3-7443-4b7a-a3a3-467934a6a3f2} - (no file)

- esta entrada dudosa: O4 - HKCU\..\Run: [kek] c:\WINDOWS\system32\kek.exe

Saludos!

Gracias capo, eso pense! Desde ya muchas gracias por toda tu ayuda!

suerte!!!!