Auxilio!: Virus inteligente?

Bueno gente, llegue a casa... pego el texto del hijackthis, pero con el inicio normal de windows (sin programas abiertos)... Ayuda por favor! ... como dije, estoy perdiendo la guerra, si uds no me ayudan estoy al horno... Gracias de antemano!

Logfile of HijackThis v1.99.1
Scan saved at 08:14:31 p.m., on 26/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\sm56hlpr.exe
F:\WINDOWS\RTHDCPL.EXE
F:\WINDOWS\system32\Rundll32.exe
F:\WINDOWS\system32\RUNDLL32.EXE
F:\archivos de programa\zyxel\accessrunner adsl usb\CnxDslTb.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
F:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
F:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
F:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
F:\Documents and Settings\Administrador\Escritorio\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - F:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Archivos de programa\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - F:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dl l
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - F:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [UpdReg] F:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [CnxDslTaskBar] "f:\archivos de programa\zyxel\accessrunner adsl usb\CnxDslTb.exe" "ZyXEL\AccessRunner ADSL USB"
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cdoosoft] F:\WINDOWS\system32\olhrwef.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [RocketDock] "F:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [msnmsgr] "F:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - Startup: RocketDock.lnk = F:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = F:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: Y'z Shadow.lnk = F:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://F:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Selección inteligente de HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - F:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: f:\archivos de programa\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/Driver...sysreqlab3.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - F:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} (SysData Class) - https://wimpro3.cce.hp.com/ChatEntry...ds/sysinfo.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{73847973-391A-40E9-ADD0-8E8901C1D1CC}: NameServer = 200.63.155.51 200.63.155.179
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - F:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - F:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - F:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - F:\WINDOWS\system32\wpdshserviceobj.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - F:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Unknown owner - F:\Archivos de programa\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - F:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - F:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "F:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - F:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

a. Ahora el log esta como debe ser, aunque hay una infección (la segunda vez te había dicho que lo generes luego de reiniciar y sin tocar nada, pero volviste a postear uno similar).


b. Como te dije, no se ve al Avast. Configuralo correctamente para tener protección residente porque estás completamente desprotegido. Si no está instalado, volvé a instalar el NOD32 y configuralo así: : Tutoriales ESET NOD32 Antivirus 3.0 y ESET Smart Security ; si usas la version 2.7 revisa este tutorial http://www.nod32-a.com/asistencia/tu...od32-amon.html


c. Bajá estos programas:

- FileASSASSIN: http://fileassassin.softonic.com/descargar o http://fileassassin.uptodown.com
- CCleaner: http://www.ccleaner.com (para que sepas cómo usarlo: Manual del CCleaner )


d. Imprimí estas instrucciones, seguilas al pie de la letra y guardá todos los resultados:

1) Desactivá Restaurar Sistema: vas a Inicio > Configuración > Panel de Control > Sistema > Restaurar Sistema y allí tildás Desactivar Restaurar Sistema.


2) Iniciá tu PC en Modo Seguro con acceso a red (cuando tu PC arranca tenés que apretar F8 en forma sucesiva. Te aparece una pantalla negra con letras blancas: elegí la opción Modo Seguro con acceso a red. Luego aparece un mensaje de advertencia al iniciar Windows, dale Aceptar). Si no podés acceder a Modo Seguro con acceso a red, hacelo en modo normal de esta forma (de lo contrario andá al paso 3):

Inicio ->> Ejecutar ->> tipeá MSCONFIG ->> dale Enter
a.- Desde la solapa Servicios activa la casilla Ocultar todos los Servicios de Microsoft
b.- Presioná el botón Deshabilitar todos
c.- Desde la solapa Inicio presioná el botón Deshabilitar todos
d.- Presioná los botones en este orden: 1° Aplicar , 2° Cerrar , 3° Reiniciar

(si elegiste esta opción, al finalizar todos los escaneos volvé a habilitar todo lo que deshabilitaste recién, y reiniciá).


3) Activá Mostrar todos los archivos y carpetas ocultos y las extensiones: Inicio > Programas > Accesorios > Explorador de Windows y ahí vas a la solapa Herramientas > Opciones de carpeta > Ver:

- tildá donde dice Mostrar todos los archivos y carpetas ocultos,
- destildá Ocultar extensiones de archivo para tipo de archivo conocidos,
luego le das Aplicar y después Aceptar (en ese orden por favor!!!).


4) No abras ningún programa hasta terminar.


5) Esta entrada se relaciona con "Como deshabilitar o desinstalar notificaciones WGA (Windows Genuine Advantage)", pero está incompleta. Si luego de borrarla te aparece el cartel molesto, bajá y ejecutá la herramienta Remove WGA:

O20 - Winlogon Notify: WgaLogon - F:\WINDOWS\


6) Borrá esta entrada perdida con Fix checked del HJT:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)


7) Esta entrada puede ser peligrosa. Si no te resultan confiables los directorios, archivos o sitios a los que hacen referencia, borrala con Fix checked del HJT:

O17 - HKLM\System\CCS\Services\Tcpip\..\{73847973-391A-40E9-ADD0-8E8901C1D1CC}: NameServer = 200.63.155.51 200.63.155.179


8) Borrá esta entrada peligrosa con Fix checked del HJT:

O4 - HKCU\..\Run: [cdoosoft] F:\WINDOWS\system32\olhrwef.exe


9) Buscá en tu PC este archivo y borralo (si es necesario con el FileASSASSIN):

F:\WINDOWS\system32\olhrwef.exe


10) Limpiá temporales y el registro con el CCleaner.


11) Hacé un escaneo con el Spybot. Guardá los resultados y borrá todo lo que te aparezca.


12) Hacé un escaneo on-line con Panda (http://www.activescan.com.ar). Guardá los resultados y borrá todo lo que te aparezca (si es necesario con el FileASSASSIN). Otra opción es Kaspersky ( http://www.kaspersky.com/sp/virusscanner ).


13) Reiniciá, generá un nuevo log con todo cerrado y posteá todos los resultados donde aparecieron infecciones.


e. No tenés un firewall (o usás el de XP que es malo). Instalá y configurá Zone Alarm como indico en este tema ¿Cómo protejo mi PC?


f. Instalá, configurá y actualizá SpywareBlaster como indico en este tema ¿Cómo protejo mi PC?


Saludos!

Bueno Mastermind, te cuento... hice todo al pie de la letra... tiro el log, lo analizo y no tiene ningun problema aparente (abajo pego el log por las dudas)

Con respecto al avast, no consigo ponerlo como residente (tampoco eliminarlo para instalar el kaspersky u otro)... y si, estaba usando el firewall de windows... en cuanto me deje entrar a alguna web de seguridad, me bajo el zonealarm...

Alguna pista mas? la verdad, estoy desconcertado.

- pego el log -

Logfile of HijackThis v1.99.1
Scan saved at 11:53:15 p.m., on 26/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
F:\WINDOWS\system32\userinit.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\sm56hlpr.exe
F:\WINDOWS\RTHDCPL.EXE
F:\WINDOWS\system32\Rundll32.exe
F:\archivos de programa\zyxel\accessrunner adsl usb\CnxDslTb.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
F:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
F:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
F:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
F:\WINDOWS\system32\svchost.exe
F:\Archivos de programa\Java\jre6\bin\jqs.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
F:\WINDOWS\system32\svchost.exe
F:\Documents and Settings\Administrador\Escritorio\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - F:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Archivos de programa\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - F:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dl l
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - F:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [CnxDslTaskBar] "f:\archivos de programa\zyxel\accessrunner adsl usb\CnxDslTb.exe" "ZyXEL\AccessRunner ADSL USB"
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [RocketDock] "F:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [msnmsgr] "F:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - Startup: RocketDock.lnk = F:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = F:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: Y'z Shadow.lnk = F:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://F:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Selección inteligente de HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - F:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O10 - Broken Internet access because of LSP provider 'f:\archivos de programa\bonjour\mdnsnsp.dll' missing
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/Driver...sysreqlab3.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - F:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} (SysData Class) - https://wimpro3.cce.hp.com/ChatEntry...ds/sysinfo.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - F:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - F:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - F:\WINDOWS\system32\wpdshserviceobj.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - F:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Unknown owner - F:\Archivos de programa\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - F:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - F:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "F:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - F:\Archivos de programa\CyberLink\Shared files\RichVideo.exe

Gracias nuevamente

No confundas este espacio con un servicio de atención al cliente que está las 24hs. a tu disposición. Aquí los usuarios leen los temas que les parecen interesantes (no todos), y si pueden responder, lo hacen; de lo contrario pasan a otro tema.


Mirá este tema: [INFO] Conficker programado para actuar el 1° de abril


El log está limpio. Fijate de no usar ningún medio removible y desconectate si estás dentro de una red por un tiempo para ver si persiste el problema. También probá estas herramientas en modo seguro, que eliminan las restricciones implantadas por los virus después de una infección (ej.: libera la Barra de Herramientas, menú Inicio, Ctrl+Alt+Del, etc.):

RegUnlocker: http://codehard.wordpress.com/regunlocker
My Removal Tool: Web del autor: http://www.sergiwa.com/en/modules/my...hp?cid=2&lid=1 ; Link alternativo de descarga: http://www.brothersoft.com/rrt-(remove-restrictions-tool)-download-60879.html


Saludos!

Saludos y con permiso


Reconozco esos síntomas y les puedo decir que son típicos del Virus Bagle. Luego de realizar los pasos que indica el maestro Master.Mind, si sigue todo sin solucionarse,te aconsejo sigas el siguiente procedimiento:


Descargá FS-FixBagle.zip

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Descomprimi FS-FixBagle.zip en el Escritorio.
• Abrí la Carpeta FS-Fix
• Ejecutá FS-FixBagle.exe
• Elejí la opción "1", Iniciar la Busqueda del Malware Bagle.
  
• Al termino del Analisis, FS-FixBagle, preguntara si deseas reiniciar el ordenador, acepta, para que los cambios surtan efecto.
• FS-FixBagle.exe, genera un reporte, el cual se encuentra generalmente en C:\BagleReport.txt.
• *Nota* Si FS-FixBagle, encuentra el Driver/Rootkit, srosa.sys, sera necesario reiniciar el odenador, por lo que debe permitir que FS-FixBagle, reinicie el ordenador.

Nos comentas los resultados y peganos el reporte que genere la herramienta cuando termines

Bueno, hice todo tal cual lo dijiste y parece que no encontrò nada pego el texto...

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3500+ )
BIOS : Default System BIOS
USER : Administrador ( Administrator )
BOOT : Normal boot




A:\ (USB)
C:\ (Local Disk) - NTFS - Total:100 Go (Free:40 Go)
D:\ (Local Disk) - NTFS - Total:19 Go (Free:6 Go)
E:\ (CD or DVD)
F:\ (Local Disk) - NTFS - Total:29 Go (Free:10 Go)
G:\ (CD or DVD)

Inicio: 19:14:35 Fecha : 27/03/2009


--------------------\\ Procesos infectados




--------------------\\ Archivos Infectados




--------------------\\ Carpetas infectadas




--------------------\\ Rogue Software




--------------------\\ Claves Registro




--------------------\\ Catchme Report

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-27 19:16:03
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden files: 0


--------------------\\FS-FixBagle - v2.0.0

Gracias a todos por tanta buena onda y gran ayuda que me estan dando!
-----Agregado el 27/3/2009 a las 08 : 20 : 26-----
Tambien hice todo esto master, baje las 2 herramientas y las ejecute las 2 lo mas completamente posible, siempre reiniciando... y nada... sigo igual...

Bueno, sí que está limpio. Estos virus se ponen jodidos, la única alternativa que le veo al asunto es usar ComboFix. Pero es una herramienta muy potente, y me falta muchísima experiencia (no se vos Master.Mind), así que es probable que terminemos en un desastre. Entonces, primero intentá cualquier sugerencia que te den, y si en un momento estás en las últimnas y te decidís a formatear, ahí probamos con ComboFix. Total, perdido por perdido...


Saludos


PD: ¿No creo que halla problemas con usar esta herramienta verdad?

El ComboFix es una herramienta de análisis, no de limpieza, al igual que el HijackThis, por eso el peligro reside en una incorrecta interpretación del resultado y no en su ejecución.

Yo no me comprometo a interpretar el log porque es muy tedioso y lo usé pocas veces. Si vos GabolaN no te ofrecés a analizarlo, lo que yo haría si fuera mi PC es un escaneo on-line en varios sitios (¿Cómo protejo mi PC?), y si no se soluciona, por último un backup para luego formatear.

Saludos!

Bueno gente les comento..."aparentemente" el problema estaria solucionado, porque estoy viendo las webs que antes no veia (solo en chrome, no en ie).. pero todavia tengo la duda... el tema es que el antivirus (avast) no me actualiza pero el problema es que esta hecho percha, le faltan ejecutables... ahora el problema es otro... si quiero instalar otro AV tengo que desinstalar este, pero me esta resultando imposible... estoy bajando ahora el "Advanced Unistaller Pro" y el "Ashampoo Uninstaller 3", voy a ver que onda y les cuento...

GRACIAS !!!

1) Para desinstalar cualquier programa que tenga algún archivo ejecutándose (las actualizaciones y la protección residente en este caso), primero hay que desactivarlas.

2) Para desinstalar el Avast existe una herramienta especial que está en la página del autor.

3) Tratá de informarte sobre lo que querés hacer antes de llevar a cabo cualquier acción, porque las consecuencias las vas a ver reflejadas en el funcionamiento de tu PC.

Saludos!