Y seguimos con + VIRTUMONDE

No encuentro al Virtumonde pero si entradas dudosas (algunas referentes al nLite; fijate si querés borrarlas), por eso elijo no hacer una desinfección específica para ese virus. Después de seguir mis indicaciones veremos que hacer.





a. No tenés instalado un firewall (o usás el de Windows que no es recomendable). Instalá el Zone Alarm como indico aquí: ¿Cómo protejo mi PC?


b. - Bajá el CCleaner: http://www.ccleaner.com


c. Imprimí estas instrucciones, seguilas al pie de la letra y guardá todos los resultados:

1) Desactivá Restaurar Sistema: vas a Inicio > Configuración > Panel de Control > Sistema > Restaurar Sistema y allí tildás Desactivar Restaurar Sistema.


2) Activá Mostrar todos los archivos y carpetas ocultos: Inicio > Programas > Accesorios > Explorador de Windows y ahí vas a la solapa Herramientas > Opciones de carpeta > Ver y tildá donde dice Mostrar todos los archivos y carpetas ocultos, luego le das Aplicar y después Aceptar (en ese orden por favor!!!).


3) Iniciá tu PC en Modo Seguro con acceso a red (cuando tu PC arranca tenés que apretar F8 en forma sucesiva. Te aparece una pantalla negra con letras blancas: elegí la opción Modo Seguro con acceso a red. Luego aparece un mensaje de advertencia al iniciar Windows, dale Aceptar). Si no podés acceder a Modo Seguro con acceso a red, hacelo en modo normal de esta forma (de lo contrario andá al paso 4):

Inicio ->> Ejecutar ->> tipeá MSCONFIG ->> dale Enter
a.- Desde la solapa Servicios activa la casilla Ocultar todos los Servicios de Microsoft
b.- Presioná el botón Deshabilitar todos
c.- Desde la solapa Inicio presioná el botón Deshabilitar todos
d.- Presioná los botones en este orden: 1° Aplicar , 2° Cerrar , 3° Reiniciar

(si elegiste esta opción, al finalizar todos los escaneos volvé a habilitar todo lo que deshabilitaste recién, y reiniciá).


4) No abras ningún programa hasta terminar.


5) Borrá estas entradas perdidas con Fix checked del HJT:

O2 - BHO: (no name) - {3BB83E93-1802-4B6E-9F86-21D4E0DEC33F} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)


6) Estas entradas corresponden a procesos que consumen recursos y no es necesario tenerlos activos. Borrlos con Fix checked del HJT:

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

7) Estas entradas son dudosas o peligrosas. Borralas con Fix checked del HJT:

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')


8) Limpiá temporales y el registro con el CCleaner.


10) Hacé un escaneo con el Spybot. Guardá los resultados y borrá todo lo que te aparezca.


11) Hacé un escaneo on-line, guardá los resultados y borrá todo lo que te aparezca con Kaspersky : http://www.kaspersky.com/sp/virusscanner (otra opción es el Panda : http://www.activescan.com.ar ).


12) Posteá los resultados y un nuevo log.


Saludos!

Bueno MasterM aqui te dejo el informe del karpeskey.. otra cosa, el spybot no encontro nada, y lo q encontro el K no me tiraba la opcion de borrarlos, y como dije mucho no entiendo jaja.. asiq nose como borrarlos, desde ya muchisimas gracias por responder.


sábado, 02 de agosto de 2008 0:15:06
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 2/08/2008
Registros en la base antivirus: 1043134

Configuración del análisis Analizar usando las siguientes bases estendidas Analizar archivos verdadero Analizar bases de correo verdadero
Objetivo a analizar Mi PC C:\
D:\
E:\
F:\
Estadísticas Número de objeros analizados 39000 Virus encontrados 5 Objetos infectados 21 / 0 Objetos sospechosos 0 Duración del análisis 00:35:18
Bombre del objeto infectado Nombre del virus Última acción C:\Archivos de programa\Eset\infected\CLUH2DCA.NQF/is160158.exe Infectados: Trojan.Win32.Monder.bjr saltado
C:\Archivos de programa\Eset\infected\CLUH2DCA.NQF CAB: infectado - 1 saltado
C:\Archivos de programa\Eset\infected\CLUH2DCA.NQF PE-Crypt.XorPE: infectado - 1 saltado
C:\Documents and Settings\Administrador\7zS4DC.tmp\WinuEFiles.exe/data0003 Infectados: not-a-virus:RiskTool.Win32.HideWindows saltado
C:\Documents and Settings\Administrador\7zS4DC.tmp\WinuEFiles.exe NSIS: infectado - 1 saltado
C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \Cache\_CACHE_001_ Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \Cache\_CACHE_002_ Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \Cache\_CACHE_003_ Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \Cache\_CACHE_MAP_ Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \urlclassifier3.sqlite Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\MSHist0120080801200808 02\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \cert8.db Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \content-prefs.sqlite Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \cookies.sqlite Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \downloads.sqlite Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \formhistory.sqlite Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \key3.db Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \parent.lock Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \permissions.sqlite Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \places.sqlite Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \places.sqlite-journal Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \search.sqlite Object is locked saltado
C:\Documents and Settings\Administrador\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\Administrador\NTUSER.DAT.LOG Object is locked saltado
C:\Documents and Settings\Default User\7zS4DC.tmp\WinuEFiles.exe/data0003 Infectados: not-a-virus:RiskTool.Win32.HideWindows saltado
C:\Documents and Settings\Default User\7zS4DC.tmp\WinuEFiles.exe NSIS: infectado - 1 saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT.LOG Object is locked saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\System Volume Information\_restore{CF62739A-ED77-435B-8A22-21BD9E7CD439}\RP3\change.log Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\cmdow.exe Infectados: not-a-virus:RiskTool.Win32.HideWindows saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\Internet.evt Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\config\systemprofile\7zS4DC.tm p\WinuEFiles.exe/data0003 Infectados: not-a-virus:RiskTool.Win32.HideWindows saltado
C:\WINDOWS\system32\config\systemprofile\7zS4DC.tm p\WinuEFiles.exe NSIS: infectado - 1 saltado
C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\Temp\etilqs_dEgWm3r64qIEud9aIt2k Object is locked saltado
D:\FLV to AVI MPEG WMV 3GP MP4 iPod Converter\FLV to AVI MPEG WMV 3GP MP4 iPod Converter.part1.rar/FLVto3GP_r82376.exe Infectados: not-a-virus:FraudTool.Win32.SpyNoMore.g saltado
D:\FLV to AVI MPEG WMV 3GP MP4 iPod Converter\FLV to AVI MPEG WMV 3GP MP4 iPod Converter.part1.rar RAR: infectado - 1 saltado
D:\post format\PostFormat.iso/COMPLEM/keyfinder.exe;1/data.rar/xpkey.exe Infectados: not-a-virus:PSWTool.Win32.RAS.g saltado
D:\post format\PostFormat.iso/COMPLEM/keyfinder.exe;1/data.rar/officekey.exe Infectados: not-a-virus:PSWTool.Win32.RAS.a saltado
D:\post format\PostFormat.iso/COMPLEM/keyfinder.exe;1/data.rar Infectados: not-a-virus:PSWTool.Win32.RAS.a saltado
D:\post format\PostFormat.iso/COMPLEM/keyfinder.exe;1 Infectados: not-a-virus:PSWTool.Win32.RAS.a saltado
D:\post format\PostFormat.iso ISOimage: infectado - 4 saltado
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
F:\COMPLEM\keyfinder.exe/data.rar/xpkey.exe Infectados: not-a-virus:PSWTool.Win32.RAS.g saltado
F:\COMPLEM\keyfinder.exe/data.rar/officekey.exe Infectados: not-a-virus:PSWTool.Win32.RAS.a saltado
F:\COMPLEM\keyfinder.exe/data.rar Infectados: not-a-virus:PSWTool.Win32.RAS.a saltado
F:\COMPLEM\keyfinder.exe RarSFX: infectado - 3 saltado



http://mihd.net/19ctgva
http://rapidshare.com/files/134219225/informe_2.html


aka dejo el log del HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:12:21, on 02/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsue.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.windowsue.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsue.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = C:\Archivos de programa\Stardock\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish...an_unicode.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5214 bytes

EDITADO, espero respuestas gracie

Te olvidaste de pegar el nuevo log del HJT. Cerrá todos los programas, generá uno nuevo y pegalo dentro de tu último mensaje. No abras un mensaje nuevo, sólo editá el último.

Ya edité tu post y pegué el resultado del K para que esté a la vista de todos los que sigan el tema.

Es importante que "pegues" todos los resultados completos, así cualquier persona con un problema similar puede ver la solución desde cualquier parte del mundo con sólo usar un buscador.

Saludos!

ya lo edite antes de ayer...

Soy un idiota. Como te hice editar, este tema no apareció hasta recién con respuestas nuevas en mis suscripciones. Se supone que siempre respondo a más tardar en 12 horas, pero terminé demorando mi respuesta sin querer.




a. No veo que hayas instalado el firewall. Instalá el Zone Alarm como indico aquí: ¿Cómo protejo mi PC?


b. - Bajá el FileASSASSIN: http://fileassassin.softonic.com/descargar o http://fileassassin.uptodown.com


c. Imprimí estas instrucciones, seguilas al pie de la letra y guardá todos los resultados:

1) Desactivá Restaurar Sistema: vas a Inicio > Configuración > Panel de Control > Sistema > Restaurar Sistema y allí tildás Desactivar Restaurar Sistema.


2) Activá Mostrar todos los archivos y carpetas ocultos: Inicio > Programas > Accesorios > Explorador de Windows y ahí vas a la solapa Herramientas > Opciones de carpeta > Ver y tildá donde dice Mostrar todos los archivos y carpetas ocultos, luego le das Aplicar y después Aceptar (en ese orden por favor!!!).


3) Iniciá tu PC en Modo Seguro (cuando tu PC arranca tenés que apretar F8 en forma sucesiva. Te aparece una pantalla negra con letras blancas: elegí la opción Modo Seguro. Luego aparece un mensaje de advertencia al iniciar Windows, dale Aceptar). Si no podés acceder a Modo Seguro, hacelo en modo normal de esta forma (de lo contrario andá al paso 4):

Inicio ->> Ejecutar ->> tipeá MSCONFIG ->> dale Enter
a.- Desde la solapa Servicios activa la casilla Ocultar todos los Servicios de Microsoft
b.- Presioná el botón Deshabilitar todos
c.- Desde la solapa Inicio presioná el botón Deshabilitar todos
d.- Presioná los botones en este orden: 1° Aplicar , 2° Cerrar , 3° Reiniciar

(si elegiste esta opción, al finalizar todos los escaneos volvé a habilitar todo lo que deshabilitaste recién, y reiniciá).


4) No abras ningún programa hasta terminar.


5) Desactivá por completo el NOD32 (TODO) y borrá lo que esté en cuarentena (si es posible). Borrá estos archivos que te encontró el Kaspersky (si es necesario con el FileASSASSIN) :

C:\Archivos de programa\Eset\infected\CLUH2DCA.NQF/is160158.exe
C:\Archivos de programa\Eset\infected\CLUH2DCA.NQF CAB
C:\Archivos de programa\Eset\infected\CLUH2DCA.NQF PE-Crypt.XorPE
C:\Documents and Settings\Administrador\7zS4DC.tmp\WinuEFiles.exe/data0003
C:\Documents and Settings\Administrador\7zS4DC.tmp\WinuEFiles.exe NSIS


6) Activá de nuevo el NOD32 y configuralo correctamente el NOD32: Tutoriales ESET NOD32 Antivirus 3.0 y ESET Smart Security ; si usas la version 2.7 revisa este tutorial: http://www.nod32-a.com/asistencia/tu...od32-amon.html.


7) Estas entradas son peligrosas. Borralas con Fix checked del HJT:

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Servicio de red')


8) Buscá en tu PC estos archivos y borralos (si es necesario con el FileASSASSIN ):

C:\Documents and Settings\All Users\Datos de programa\soft chic meet great\setup mode.exe
C:\DOCUME~1\mer_punk\DATOSD~1\UPPURE~1\Burn send meal.exe


9) Limpiá temporales y el registro con el CCleaner.


10) Hacé un escaneo con el SUPERAntiSpyware. Guardá los resultados y borrá todo lo que te aparezca.


11) Hacé un escaneo el NOD32 bien configurado. Guardá los resultados y borrá todo lo que te aparezca.


12) Reiniciá, generá un nuevo log con todo cerrado, posteá todos los resultados y contá que pudiste hacer y que no pudiste.


Saludos!

Jajaja no hay drama capo, bastante ya que me das una mano Antes de seguir las instrucciones, de hecho si instale el zone alarm, pero tengo varios conflictos, ejemplo: cuando lo instalo me corta completamenta la conexion a internet (ojo ya supe como configurar esa parte) el tema es que me pide permiso para todo y tengo miedo de aseptar un permiso y q sea muy malicioso, lo otro es que dsps de instalar el za y seguir tus 1era instrucciones cada vez q reiniciaba la pc el za se colgaba o cuando entraba en modo seguro no me dejaba ingresar a internet teniendolo hasta desactivado.. q consejo me darias? o esto puede ser x eso archivos maliciosos???

Gracias desde ya!

En computación no se puede descartar nada. El Z.A. no acostumbra traer conflictos, pero lo primero que tenés que hacer es desactivarlo y seguir mis instrucciones. La idea de tener un firewall es para mejorar tu protección, pero no vas a infectarte más por no tenerlo durante unas horas.

Cuando termines, tratá de seguir el tutorial del Z.A. y volver a activarlo. Todo firewall se encarga de vigilar lo que pasa entre internet (con todo lo bueno y tambien sus peligros) y tu PC, y te protege de cierto tipo de ataques. Una vez instalado, te va a preguntar cada vez que se ejecuta un programa por primera vez (después recuerda tu respuesta y no te vuelve a preguntar) si es una acción que vos querés que se realize (como la ejecución de Word o Internet Explorer, o cuando el Word abre el Excel) o es una acción que implica un riesgo (un programa intenta ejecutarse sin tu consentimiento). Esta es la forma en que el firewall crea reglas y las recuerda, y esa es la forma en que te proteje.

Aprovecho que estoy trabajando en casa y quedo conectado para saber como resultó todo.

Saludos!

HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 6:45:06, on 05/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsue.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.windowsue.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsue.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = C:\Archivos de programa\Stardock\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish...an_unicode.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5270 bytes


SUPERAS:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 08/05/2008 at 07:05 AM

Application Version : 4.15.1000

Core Rules Database Version : 3526
Trace Rules Database Version: 1516

Scan type : Complete Scan
Total Scan Time : 00:13:41

Memory items scanned : 193
Memory threats detected : 0
Registry items scanned : 4386
Registry threats detected : 0
File items scanned : 22268
File threats detected : 0


NOD32:

Registro del análisis a petición del usuario
Versión de la base de firmas de virus: 3327 (20080805)
Fecha: 05/08/2008 Hora: 7:58:27
Discos, carpetas y archivos analizados: Memoria operativa;C:\Sector de inicio;C:\
C:\pagefile.sys - error abriendo [4]
C:\Archivos de programa\Archivos comunes\Java\Update\Base Images\jre1.6.0.b105\core3.zip » ZIP » lib/deploy/ffjcext.zip » ZIP » {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA}/chrome.manifest » MIME - está correcto (el análisis interno no se ha ejecutado)
C:\Archivos de programa\Archivos comunes\Java\Update\Base Images\jre1.6.0.b105\core3.zip » ZIP » lib/resources.jar » ZIP » com/sun/org/apache/xerces/internal/impl/msg/XIncludeMessages.properties » MIME - está correcto (el análisis interno no se ha ejecutado)
C:\Archivos de programa\Archivos comunes\Java\Update\Base Images\jre1.6.0.b105\core3.zip » ZIP » lib/resources.jar » ZIP » com/sun/xml/internal/fastinfoset/resources/ResourceBundle.properties » MIME - está correcto (el análisis interno no se ha ejecutado)
C:\Archivos de programa\Archivos comunes\Java\Update\Base Images\jre1.6.0.b105\core3.zip » ZIP » lib/resources.jar » ZIP » javax/xml/bind/Messages.properties » MIME - está correcto (el análisis interno no se ha ejecutado)
C:\Archivos de programa\Java\jre1.6.0\lib\resources.jar » ZIP » com/sun/org/apache/xerces/internal/impl/msg/XIncludeMessages.properties » MIME - está correcto (el análisis interno no se ha ejecutado)
C:\Archivos de programa\Java\jre1.6.0\lib\resources.jar » ZIP » com/sun/xml/internal/fastinfoset/resources/ResourceBundle.properties » MIME - está correcto (el análisis interno no se ha ejecutado)
C:\Archivos de programa\Java\jre1.6.0\lib\resources.jar » ZIP » javax/xml/bind/Messages.properties » MIME - está correcto (el análisis interno no se ha ejecutado)
C:\Archivos de programa\Java\jre1.6.0\lib\deploy\ffjcext.zip » ZIP » {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA}/chrome.manifest » MIME - está correcto (el análisis interno no se ha ejecutado)
C:\Archivos de programa\Mozilla Firefox\chrome\browser.manifest » MIME - está correcto (el análisis interno no se ha ejecutado)
C:\Archivos de programa\Mozilla Firefox\chrome\comm.manifest » MIME - está correcto (el análisis interno no se ha ejecutado)
C:\Archivos de programa\Mozilla Firefox\chrome\pippki.manifest » MIME - está correcto (el análisis interno no se ha ejecutado)
C:\Archivos de programa\Mozilla Firefox\chrome\reporter.manifest » MIME - está correcto (el análisis interno no se ha ejecutado)
C:\Archivos de programa\Mozilla Firefox\chrome\toolkit.manifest » MIME - está correcto (el análisis interno no se ha ejecutado)
C:\Archivos de programa\Nero\Core\CDI\CDI_VCD.CFG » MIME - está correcto (el análisis interno no se ha ejecutado)
C:\Documents and Settings\Administrador\NTUSER.DAT - error abriendo [4]
C:\Documents and Settings\Administrador\NTUSER.DAT.LOG - error abriendo [4]
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Identities\{64B96F46-B5AB-4610-BFCB-CC8E79E1AB68}\Microsoft\Outlook Express\Bandeja de entrada.dbx » DBX - está correcto (el análisis interno no se ha ejecutado)
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat - error abriendo [4]
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG - error abriendo [4]
C:\Documents and Settings\Administrador\Configuración local\Temp\GLB7.tmp » WISE » WISE0132.DLL - archivo comprimido dañado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \parent.lock - error abriendo [4]
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \places.sqlite-journal - error abriendo [4]
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \extensions\video-dowloader@magic-imv.ro\chrome.manifest » MIME - está correcto (el análisis interno no se ha ejecutado)
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \extensions\{77b819fa-95ad-4f2c-ac7c-486b356188a9}\chrome.manifest » MIME - está correcto (el análisis interno no se ha ejecutado)
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \extensions\{8620c15f-30dc-4dba-a131-7c5d20cf4a29}\chrome.manifest » MIME - está correcto (el análisis interno no se ha ejecutado)
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \extensions\{c36177c0-224a-11da-8cd6-0800200c9a66}\chrome.manifest » MIME - está correcto (el análisis interno no se ha ejecutado)
C:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\Qua rantine\Quarantine - 07-29-2008 - 20-37-46.SBU » ZIP » {01DF6715-CEFC-4F9F-8180-F0E87D5720B1} - error- archivo protegido por contraseña
C:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\Qua rantine\Quarantine - 07-29-2008 - 20-37-46.SBU » ZIP » {0737ECEE-C867-4B27-87AA-B488F797ACE7} - error- archivo protegido por contraseña
C:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\Qua rantine\Quarantine - 07-29-2008 - 20-37-46.SBU » ZIP » {147A6508-E8B2-44E4-A692-3917FEBCEB3B} - error- archivo protegido por contraseña
C:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\Qua rantine\Quarantine - 07-29-2008 - 20-37-46.SBU » ZIP » {14F0D6D3-1007-4D90-80CC-3D35F8377A53} - error- archivo protegido por contraseña
C:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\Qua rantine\Quarantine - 07-29-2008 - 20-37-46.SBU » ZIP » {150BE381-2294-4283-A0AA-B36506B61154} - error- archivo protegido por contraseña
C:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\Qua rantine\Quarantine - 07-29-2008 - 20-37-46.SBU » ZIP » {39771BDE-1892-4AC3-AA5C-FFCFD7F39F9B} - error- archivo protegido por contraseña
C:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\Qua rantine\Quarantine - 07-29-2008 - 20-37-46.SBU » ZIP » {57F643BD-708C-4C4F-B2E6-9E6A78DCFD14} - error- archivo protegido por contraseña
C:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\Qua rantine\Quarantine - 07-29-2008 - 20-37-46.SBU » ZIP » {771710EB-6D95-4C35-A908-B7A1FB71497E} - error- archivo protegido por contraseña
C:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\Qua rantine\Quarantine - 07-29-2008 - 20-37-46.SBU » ZIP » {90C01001-7951-4889-BA08-38AF0ECF72BE} - error- archivo protegido por contraseña
C:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\Qua rantine\Quarantine - 07-29-2008 - 20-37-46.SBU » ZIP » {A73235DD-FC7D-4B76-8351-03623DCA806E} - error- archivo protegido por contraseña
C:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\Qua rantine\Quarantine - 07-29-2008 - 20-37-46.SBU » ZIP » {A77B8F27-6E31-4324-9F62-4DDE0A8E3C78} - error- archivo protegido por contraseña
C:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\Qua rantine\Quarantine - 07-29-2008 - 20-37-46.SBU » ZIP » {C0377DA9-C2D5-41FA-9A34-D8740417A6D6} - error- archivo protegido por contraseña
C:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\Qua rantine\Quarantine - 07-29-2008 - 20-37-46.SBU » ZIP » {CAB57037-C9AE-40CD-B39C-0C43307668F4} - error- archivo protegido por contraseña
C:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\Qua rantine\Quarantine - 07-29-2008 - 20-37-46.SBU » ZIP » {CAFFEE73-2A91-4664-A29F-9B405AD29DE8} - error- archivo protegido por contraseña
C:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\Qua rantine\Quarantine - 07-29-2008 - 20-37-46.SBU » ZIP » {CB00017E-D6B7-47B0-A4C7-DABA033383B0} - error- archivo protegido por contraseña
C:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\Qua rantine\Quarantine - 07-29-2008 - 20-37-46.SBU » ZIP » {D4690015-8052-4A0F-B8ED-6117BD1DB4A6} - error- archivo protegido por contraseña
C:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\Qua rantine\Quarantine - 07-29-2008 - 20-37-46.SBU » ZIP » {D987185C-C721-4AC3-85E2-1A39F2B07E75} - error- archivo protegido por contraseña
C:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\Qua rantine\Quarantine - 07-29-2008 - 20-37-46.SBU » ZIP » {E3AB7F08-6C74-4465-A704-5F7559243FF1} - error- archivo protegido por contraseña
C:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\Qua rantine\Quarantine - 07-29-2008 - 20-37-46.SBU » ZIP » {F9BE13B2-765F-4272-84B3-050C9230C44C} - error- archivo protegido por contraseña
C:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\Qua rantine\Quarantine - 07-29-2008 - 20-37-46.SBU » ZIP » backup.db - error- archivo protegido por contraseña
C:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\Qua rantine\Quarantine - 07-29-2008 - 21-10-47.SBU » ZIP » {EAD60019-B1C1-43ED-B8C7-3DA38DB06A0F} - error- archivo protegido por contraseña
C:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\Qua rantine\Quarantine - 07-29-2008 - 21-10-47.SBU » ZIP » backup.db - error- archivo protegido por contraseña
C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\MicrosoftWindowsdisableSystemRest ore.zip » ZIP » sbRecovery.reg - error- archivo protegido por contraseña
C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\MicrosoftWindowsdisableSystemRest ore.zip » ZIP » sbRecovery.ini - error- archivo protegido por contraseña
C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\Virtumonde.zip » ZIP » sbRecovery.reg - error- archivo protegido por contraseña
C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\Virtumonde.zip » ZIP » sbRecovery.ini - error- archivo protegido por contraseña
C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\Virtumonde1.zip » ZIP » sbRecovery.reg - error- archivo protegido por contraseña
C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\Virtumonde1.zip » ZIP » sbRecovery.ini - error- archivo protegido por contraseña
C:\Documents and Settings\LocalService\NTUSER.DAT - error abriendo [4]
C:\Documents and Settings\LocalService\NTUSER.DAT.LOG - error abriendo [4]
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat - error abriendo [4]
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG - error abriendo [4]
C:\Documents and Settings\NetworkService\NTUSER.DAT - error abriendo [4]
C:\Documents and Settings\NetworkService\NTUSER.DAT.LOG - error abriendo [4]
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat - error abriendo [4]
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG - error abriendo [4]
C:\WINDOWS\SoftwareDistribution\Download\64e479102 960b6fb7ce894f3e5efe4a8\update\eula.txt » MIME - está correcto (el análisis interno no se ha ejecutado)
C:\WINDOWS\SoftwareDistribution\Download\bc04b45f5 dce1a7b0e180c4ce4cc1a77\update\eula.txt » MIME - está correcto (el análisis interno no se ha ejecutado)
C:\WINDOWS\SoftwareDistribution\Download\d18cf16be bd5e300bd873baac433fe74\update\eula.txt » MIME - está correcto (el análisis interno no se ha ejecutado)
C:\WINDOWS\system32\CatRoot2\edb.log - error abriendo [4]
C:\WINDOWS\system32\CatRoot2\tmp.edb - error abriendo [4]
C:\WINDOWS\system32\config\default - error abriendo [4]
C:\WINDOWS\system32\config\default.LOG - error abriendo [4]
C:\WINDOWS\system32\config\SAM - error abriendo [4]
C:\WINDOWS\system32\config\SAM.LOG - error abriendo [4]
C:\WINDOWS\system32\config\SECURITY - error abriendo [4]
C:\WINDOWS\system32\config\SECURITY.LOG - error abriendo [4]
C:\WINDOWS\system32\config\software - error abriendo [4]
C:\WINDOWS\system32\config\software.LOG - error abriendo [4]
C:\WINDOWS\system32\config\system - error abriendo [4]
C:\WINDOWS\system32\config\system.LOG - error abriendo [4]
C:\WINDOWS\system32\drivers\sptd.sys - error abriendo [4]
C:\WINDOWS\Temp\etilqs_geCGTJmiIp43iCQksJps - error abriendo [4]
Cantidad de objetos analizados: 106139
Cantidad de amenazas detectadas: 0
Hora de finalización: 8:04:43 Tiempo total de análisis: 376 seg (00:06:16)

Notas:
[4] No se ha podido abrir el objeto. Podría estar en uso por otra aplicación o el sistema operativo.

y aqui el kaspersky online:

Número de objeros analizados 40607 Virus encontrados 5 Objetos infectados 14 / 0 Objetos sospechosos 0 Duración del análisis 00:35:55
Bombre del objeto infectado Nombre del virus Última acción C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \Cache\_CACHE_001_ Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \Cache\_CACHE_002_ Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \Cache\_CACHE_003_ Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \Cache\_CACHE_MAP_ Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \urlclassifier3.sqlite Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\MSHist0120080805200808 06\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \cert8.db Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \content-prefs.sqlite Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \cookies.sqlite Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \downloads.sqlite Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \formhistory.sqlite Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \key3.db Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \parent.lock Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \permissions.sqlite Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \places.sqlite Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \places.sqlite-journal Object is locked saltado
C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\7msrs1so.default \search.sqlite Object is locked saltado
C:\Documents and Settings\Administrador\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\Administrador\NTUSER.DAT.LOG Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Charon\CACHE.NDB Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Logs\virlog.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Logs\warnlog.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT.LOG Object is locked saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\System Volume Information\_restore{CF62739A-ED77-435B-8A22-21BD9E7CD439}\RP16\A0000962.exe/data0003 Infectados: not-a-virus:RiskTool.Win32.HideWindows saltado
C:\System Volume Information\_restore{CF62739A-ED77-435B-8A22-21BD9E7CD439}\RP16\A0000962.exe NSIS: infectado - 1 saltado
C:\System Volume Information\_restore{CF62739A-ED77-435B-8A22-21BD9E7CD439}\RP16\A0000963.exe Object is locked saltado
C:\System Volume Information\_restore{CF62739A-ED77-435B-8A22-21BD9E7CD439}\RP16\A0000964.exe/data0003 Infectados: not-a-virus:RiskTool.Win32.HideWindows saltado
C:\System Volume Information\_restore{CF62739A-ED77-435B-8A22-21BD9E7CD439}\RP16\A0000964.exe NSIS: infectado - 1 saltado
C:\System Volume Information\_restore{CF62739A-ED77-435B-8A22-21BD9E7CD439}\RP18\change.log Object is locked saltado
C:\System Volume Information\_restore{CF62739A-ED77-435B-8A22-21BD9E7CD439}\RP9\A0000628.exe/data0003 Infectados: not-a-virus:RiskTool.Win32.HideWindows saltado
C:\System Volume Information\_restore{CF62739A-ED77-435B-8A22-21BD9E7CD439}\RP9\A0000628.exe NSIS: infectado - 1 saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\Sti_Trace.log Object is locked saltado
C:\WINDOWS\system32\calc.exe Infectados: Trojan.Win32.Vaklik.cqf saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\Internet.evt Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado
C:\WINDOWS\system32\h323log.txt Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\Temp\etilqs_geCGTJmiIp43iCQksJps Object is locked saltado
C:\WINDOWS\wiadebug.log Object is locked saltado
C:\WINDOWS\wiaservc.log Object is locked saltado
D:\FLV to AVI MPEG WMV 3GP MP4 iPod Converter\FLV to AVI MPEG WMV 3GP MP4 iPod Converter.part1.rar/FLVto3GP_r82376.exe Infectados: not-a-virus:FraudTool.Win32.SpyNoMore.g saltado
D:\FLV to AVI MPEG WMV 3GP MP4 iPod Converter\FLV to AVI MPEG WMV 3GP MP4 iPod Converter.part1.rar RAR: infectado - 1 saltado
D:\post format\PostFormat.iso/COMPLEM/keyfinder.exe;1/data.rar/xpkey.exe Infectados: not-a-virus:PSWTool.Win32.RAS.g saltado
D:\post format\PostFormat.iso/COMPLEM/keyfinder.exe;1/data.rar/officekey.exe Infectados: not-a-virus:PSWTool.Win32.RAS.a saltado
D:\post format\PostFormat.iso/COMPLEM/keyfinder.exe;1/data.rar Infectados: not-a-virus:PSWTool.Win32.RAS.a saltado
D:\post format\PostFormat.iso/COMPLEM/keyfinder.exe;1 Infectados: not-a-virus:PSWTool.Win32.RAS.a saltado
D:\post format\PostFormat.iso ISOimage: infectado - 4 saltado
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
D:\System Volume Information\_restore{CF62739A-ED77-435B-8A22-21BD9E7CD439}\RP18\change.log Object is locked saltado
Análisis completado.

otra cosa:

estos archivos ni los encontro:

C:\Documents and Settings\All Users\Datos de programa\soft chic meet great\setup mode.exe
C:\DOCUME~1\mer_punk\DATOSD~1\UPPURE~1\Burn send meal.exe

C:\Archivos de programa\Eset\infected\CLUH2DCA.NQF/is160158.exe
C:\Archivos de programa\Eset\infected\CLUH2DCA.NQF CAB
C:\Archivos de programa\Eset\infected\CLUH2DCA.NQF PE-Crypt.XorPE
C:\Documents and Settings\Administrador\7zS4DC.tmp\WinuEFiles.exe/data0003

hice todo tal cual me dijiste, lo unico q el analisis del nod lo hice en modo normal pq en prueba de fallos con red no me deja ni abrirlo, es el unico

y vale mencionar q el nod me esta bloqueando todo esto:



q groso!!.. aunq se puede eliminar?

Si el resultado de algún escaneo está limpio, sólo hacémelo saber. No hace falta que pegues el resultado.


a. Veo que en NOD32 está como residente al inicio de Windows (como debe ser), pero me llama la atención de que al momento de ejecutar el HJT (tanto hoy como anteayer) no aparece como un proceso activo. Eso no es un buen síntoma. Fijate si aparece el proceso nod32krn.exe (o similar dependiendo de tu versión) en el Administrador de tareas: Control+Alt+Del.

No puede ser que aparezcan nuevas infecciones si tenés bien configurado el NOD32. Revisá con cuidado estos tutoriales: Tutoriales ESET NOD32 Antivirus 3.0 y ESET Smart Security ; si usas la version 2.7 : http://www.nod32-a.com/asistencia/tu...od32-amon.html


b. El Kaspersky on-line encontró algunos archivos infectados y la pasó por alto el otro día. Si ahora no aparecen debe ser porque el NOD32 ya los borró de la cuarentena (virus vault):

C:\Archivos de programa\Eset\infected\CLUH2DCA.NQF/is160158.exe Infectados: Trojan.Win32.Monder.bjr saltado
C:\Archivos de programa\Eset\infected\CLUH2DCA.NQF CAB: infectado - 1 saltado
C:\Archivos de programa\Eset\infected\CLUH2DCA.NQF PE-Crypt.XorPE: infectado - 1 saltado
C:\Documents and Settings\Administrador\7zS4DC.tmp\WinuEFiles.exe/data0003 Infectados: not-a-virus:RiskTool.Win32.HideWindows saltado
C:\Documents and Settings\Administrador\7zS4DC.tmp\WinuEFiles.exe NSIS: infectado - 1 saltado


c. Imprimí estas instrucciones, seguilas al pie de la letra y guardá todos los resultados:

1) Desactivá Restaurar Sistema: vas a Inicio > Configuración > Panel de Control > Sistema > Restaurar Sistema y allí tildás Desactivar Restaurar Sistema.


2) Activá Mostrar todos los archivos y carpetas ocultos: Inicio > Programas > Accesorios > Explorador de Windows y ahí vas a la solapa Herramientas > Opciones de carpeta > Ver y tildá donde dice Mostrar todos los archivos y carpetas ocultos, luego le das Aplicar y después Aceptar (en ese orden por favor!!!).


3) Iniciá tu PC en Modo Seguro con acceso a red (cuando tu PC arranca tenés que apretar F8 en forma sucesiva; te aparece una pantalla negra con letras blancas: elegí la opción Modo Seguro con acceso a red. Luego aparece un mensaje de advertencia al iniciar Windows, dale Aceptar). Si no podés acceder a Modo Seguro con acceso a red, hacelo en modo normal de esta forma (de lo contrario andá al paso 4):

Inicio ->> Ejecutar ->> tipeá MSCONFIG ->> dale Enter
a.- Desde la solapa Servicios activa la casilla Ocultar todos los Servicios de Microsoft
b.- Presioná el botón Deshabilitar todos
c.- Desde la solapa Inicio presioná el botón Deshabilitar todos
d.- Presioná los botones en este orden: 1° Aplicar , 2° Cerrar , 3° Reiniciar

(si elegiste esta opción, al finalizar todos los escaneos volvé a habilitar todo lo que deshabilitaste recién, y reiniciá).


4) No abras ningún programa hasta terminar.


5) Borrá esta entrada perdida con Fix checked del HJT:

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)


6) Esta entrada es dudosas. Borrala con Fix checked del HJT:

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'Servicio de red')


8) Limpiá temporales y el registro con el CCleaner (tildá todo sin miedo).


9) Hacé un escaneo con el SUPERAntiSpyware. Guardá los resultados y borrá todo lo que te aparezca.


10) Hacé un escaneo on-line, guardá los resultados y borrá todo lo que te aparezca con Kaspersky : http://www.kaspersky.com/sp/virusscanner (otra opción es el Panda : http://www.activescan.com.ar ).


12) Reiniciá, generá un nuevo log con todo cerrado y posteá todos los resultados.


Saludos!