Auxilio!: Virus inteligente?

baja el kapersky desistala los otros antivirus y despues instalalo y activalo con la version de prueba espera que se actualice solito y escanea tu pc... pero si tenes otra podes probar en conectarlo en esa pc y escanealo con el antivirus de esa pc...

Pd.. utiliza el Ccleaner y limpia el registro antes o el tune up... tal vez es un error de registro...

Cuando te encontrás con un situación así, deberías darte cuenta que el problema no está en al antivirus, así que te recomiendo no empeorar el estado de tu PC instalando y desintalando cosas, porque no vas a solucionar nada.

Primero hay que hacer un diagnóstico y luego te indico cómo proceder:

1) Decime que protección tenés: antivirus, antispyware y firewall.
2) Bajá el HijackThis, ejecutalo con todos los programas cerrados, elegí Do a system scan only, guardá el log y pegalo acá.


Muevo al foro Seguridad Informática.

Saludos!

Master.Mind
Moderador foros Windows, Software y Seguridad Informática
Staff Psicofxp

perfecto, ahora estoy en el trabajo asi que me bajo el HijackThis y esta noche lo hago en casa y pego el log.

Te comento que tengo ahora:
Antiviurs: Avast (desactualizado)
Antispyware: ad-aware (actualizado) y Spyboot S & D (actualizado)
Firewall: estaba usando el del nod32 antes de desinstalarlo.


Muchisimas gracias! esta noche vuelvo a postear el log.

Saludos,

Bueno Master.Mind, te pego el log del HijackThis, con todo cerrado (cerre lo mas que pude)

Logfile of HijackThis v1.99.1
Scan saved at 09:34:14 p.m., on 25/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\ctfmon.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\svchost.exe
J:\SOLUCION VIRUS\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - F:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Archivos de programa\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - F:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dl l
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - F:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://F:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Selección inteligente de HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - F:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: f:\archivos de programa\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/Driver...sysreqlab3.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - F:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} (SysData Class) - https://wimpro3.cce.hp.com/ChatEntry...ds/sysinfo.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - F:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - F:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - F:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - F:\WINDOWS\system32\wpdshserviceobj.dll




Aguardo MUY ansioso tu respuesta, gracias!!

Ese log no está bien generado. Reiniciá tu PC y generá un nuevo log sin abrir ni cerrar ningún proceso o programa.

Saludos!

Ahi va nuevamente, recien reiniciada la PC, sin abrir ni cerrar nada... hice los pasos al pie de la letra, pero mepa que es igual el log che... puede ser? Gracias maestro.


Logfile of HijackThis v1.99.1
Scan saved at 10:14:17 p.m., on 25/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\ctfmon.exe
F:\WINDOWS\system32\RuNdLl32.EXE
F:\WINDOWS\system32\RuNdLl32.EXE
F:\Documents and Settings\Administrador\Escritorio\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - F:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Archivos de programa\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - F:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dl l
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - F:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://F:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Selección inteligente de HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - F:\Archivos de programa\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: f:\archivos de programa\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/Driver...sysreqlab3.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - F:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} (SysData Class) - https://wimpro3.cce.hp.com/ChatEntry...ds/sysinfo.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - F:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - F:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - F:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - F:\WINDOWS\system32\wpdshserviceobj.dll

Es bastante raro; no hay infección, pero el log es muy inusual. No sólo no está el Avast abierto, sino que no está dentro de los procesos que se inician con la PC. Por defecto se instala como residente para que estés protegido. Revisá si cambiaste la configuración.

También faltan procesos residentes que cualquier PC tiene; ej.: algo referente a un driver, Java, Adobe (Acrobat Reader), Office, Messenger, Ares, etc.

Fijate si con la opción Restaurar Sistema podés volver a un punto donde tu PC estaba bien. Si no resulta, hacé esto:

1) Desactivá Restaurar Sistema: vas a Inicio > Configuración > Panel de Control > Sistema > Restaurar Sistema y allí tildás Desactivar Restaurar Sistema.


2) Activá Mostrar todos los archivos y carpetas ocultos y las extensiones: Inicio > Programas > Accesorios > Explorador de Windows y ahí vas a la solapa Herramientas > Opciones de carpeta > Ver:

- tildá donde dice Mostrar todos los archivos y carpetas ocultos,
- destildá Ocultar extensiones de archivo para tipo de archivo conocidos,
luego le das Aplicar y después Aceptar (en ese orden por favor!!!).


3) Iniciá tu PC en Modo Seguro con acceso a red (cuando tu PC arranca tenés que apretar F8 en forma sucesiva. Te aparece una pantalla negra con letras blancas: elegí la opción Modo Seguro con acceso a red. Luego aparece un mensaje de advertencia al iniciar Windows, dale Aceptar). Si no podés acceder a Modo Seguro con acceso a red, hacelo en modo normal de esta forma (de lo contrario andá al paso 4):

Inicio ->> Ejecutar ->> tipeá MSCONFIG ->> dale Enter
a.- Desde la solapa Servicios activa la casilla Ocultar todos los Servicios de Microsoft
b.- Presioná el botón Deshabilitar todos
c.- Desde la solapa Inicio presioná el botón Deshabilitar todos
d.- Presioná los botones en este orden: 1° Aplicar , 2° Cerrar , 3° Reiniciar

(si elegiste esta opción, al finalizar todos los escaneos volvé a habilitar todo lo que deshabilitaste recién, y reiniciá).


4) Fijate si podés actualizar los programas, hacé un escaneo guardando los resultados y borrando todo lo que aparezca infectado.


Saludos!

Se me ocurre algo:

Boton inicio => Ejecutar => (escribe sin las comillas...) "regedit"
Si se abre una como ventanita estamos bien, si no se abre nada, tenemos un problema, en dado caso lo unico que se me ocurre que puede solucionar tu problema es esto:
http://www.codehard.com.ar/regunlocker (el link de descarga esta hasta abajo)

A lo mejor si corremos con suerte podemos dejar que se actualice algun antivirus.

Bueno te cuento, en realidad el log que pegué aca, estaba asi porque justamente habia hecho lo que vos decis un rato antes, lo de desactivar todo todo, y bueno ese log fue el resultado. El gran problema de iniciar en modo a prueba de fallos "con" soporte de red, fue que nunca me pude conectar. Ejecute los antispyware y malware y algo encuentran y limpian, pero es siempre lo mismo.

Muchachos, estoy perdiendo la guerra, y bastante desesperado.

Muchas gracias. Santy.
-----Agregado el 26/3/2009 a las 10 : 10 : 10-----
Gracias querido, siempre pude abrir el registro sin problemas... igual sigo con el problema del bicho... aguardo comentarios sres! Gracias!