virus por messsenger

hola. mi cunsulta es: me llega un supuesto archivo con fotos por chat. era un archivo comprimido, al descomprimirlo me aparece un acceso direto con extension msdos. lo abri confiendo en el contacto que lo enviaba, y resulta q les llego a otros contactos mios tambien. sera un virus? que me puede afectar? Agradezco cada respuesta

Es un virus, nunca tienes que abrir archivos adjuntos del Messenger sin antes preguntarle al que te lo envía si realmente lo está mandando.
Por otro lado al descomprimirlo, ejecutaste el virus, por lo tanto estás con el ordenador infectado y tus contactos están recibiendo el virus también.

Aquí tienes una herramienta para quitar virus del Messenger:
MSNcleaner

Un saludo,
Gabriel

Hola Gabriel. Gracias por tu consejo, pero lo he apliacado y no me da resultado, el archivo Photo.zip se vuelve a ubicar en la carpeta Temp de Windows. He alpicado el kaspersky on line y me dio como resultado el informe que dejo al final del mensaje. el problema es q no me da la opcion de repara o borrar esos archivos, lo intente manualmente pero no resulto. lo q si C:\WINDOWS\system32\calc.exe no lo elimine porque no se si es la calculadora o el virus creo que a lo mejor es el archivo que genera los otros, agradezco cada respuesta
Número de objeros analizados 14140
Virus encontrados 2
Objetos infectados 5 / 0
Objetos sospechosos 0
Duración del análisis 00:07:40

Bombre del objeto infectado Nombre del virus Última acción
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\system32\calc.exe Infectados: Trojan.Win32.Vaklik.cqf saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\Temp\photo.zip/photo1226.jpeg-www.myspace.com Infectados: Trojan.Win32.Mondera.gen saltado

C:\WINDOWS\Temp\photo.zip ZIP: infectado - 1 saltado

C:\Windows\Temp\photo.zip/photo1226.jpeg-www.myspace.com Infectados: Trojan.Win32.Mondera.gen saltado

C:\Windows\Temp\photo.zip

Hola, te recomiendo que descargues e instales la versión 2 Final de Hijackthis y pegues un log para su análisis.

Saludos

Aqui les dejo el analisis de hiajackthis, espero sea util para que me aconsejen y ayude a la solucion de mi problema

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:46:07, on 06/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Archivos de programa\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe
C:\Archivos de programa\Archivos comunes\Teleca Shared\CapabilityManager.exe
C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe
C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\OPLIMIT\ocrawr32.exe
C:\Archivos de programa\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\ARCHIV~1\ARCHIV~1\Nokia\MPAPI\MPAPI3s.exe
C:\Archivos de programa\Archivos comunes\Teleca Shared\Generic.exe
C:\Archivos de programa\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.windowsue.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsue.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.windowsue.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsue.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F3 - REG:win.ini: load=C:\OPLIMIT\ocraware.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Docum ents and Settings\Administrador\byvsja.exe \o
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164 \swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\winampa.exe"
O4 - HKLM\..\Run: [oiyerov] C:\WINDOWS\system32\oiyerov.exe \j
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: Herramienta de búsqueda de soportes de Picture Motion Browser.lnk = C:\Archivos de programa\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe

--
End of file - 8755 bytes

Sigue estos pasos:

1.- Apaga el "Restaurar Sistema"

2.- Activa la opción Ver Archivos Ocultos

3.- Reinicia en Modo Seguro

4.- Cierra todos los programas, ejecuta HijackThis y dale "FIX Cheked" a estas entradas:

O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O4 - HKLM\..\Run: [oiyerov] C:\WINDOWS\system32\oiyerov.exe \j

5.- Sin reiniciar, busca y elimina estos archivos, si aún los encuentras. Si no se dejan eliminar descarga el programa FileASSASIN y sigue las indicaciones del mensaje, para eliminar estos archivos:

C:\WINDOWS\system32\oiyerov.exe

C:\WINDOWS\Temp\photo.zip

6.- Pasa el Ccleaner y siguiendo los pasos de su manual utiliza las opciones Limpiador y Registro.

7.- Descarga el Malwarebyte’s AntiMalwares y realiza un escaneo con el.

8.- Reinicia la máquina y realiza un escaneo con Ewido Online, luego pega otro log de Hijackthis y nos cuentas como te fue.

9.- Deshaz los pasos 1 y 2.

De preferencia imprime las indicaciones para que se te haga mas fácil seguirlas.

Saludos

Lamentablemente el archivo photo.zip se sigue generando, segui tus pasos pero no dio resultado, algo que me llamo la atencion y quizas fue causante de que no se resolviera el problema es que al querer apagar "restaurar sistema" me aparece una advertencia que dice "restaurar sistema ha sido desactivado por una directiva de grupo. para activarlo pongase en contacto con su administrador de dominio". igual dejo aqui en el mensaje el nuevo reporte de hjackthis. no pierdo las esperanzas sigo buscando la solucion del problema, muchas gracias

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2:34:37, on 07/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Archivos de programa\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe
C:\Archivos de programa\Archivos comunes\Teleca Shared\CapabilityManager.exe
C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe
C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Archivos de programa\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\OPLIMIT\ocrawr32.exe
C:\ARCHIV~1\ARCHIV~1\Nokia\MPAPI\MPAPI3s.exe
C:\Archivos de programa\Archivos comunes\Teleca Shared\Generic.exe
C:\Archivos de programa\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.windowsue.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsue.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.windowsue.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsue.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F3 - REG:win.ini: load=C:\OPLIMIT\ocraware.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Docum ents and Settings\Administrador\byvsja.exe \o,
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164 \swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\winampa.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: Herramienta de búsqueda de soportes de Picture Motion Browser.lnk = C:\Archivos de programa\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe

--
End of file - 8650 bytes

Bien, ataquemos directamente la infección de la siguiente manera:

- Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Haz doble clic al archivo ComboFix.exe y sigue las instrucciones.
• Cuando termine, generará un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

Saludos

Hola, sigo al pie de la letra tus instrucciones, agradeceria tambien si no es mucha molestia, me informes de un poco de los pasos que estamos siguiendo, igual muy agradecido por tomarte las molestias de tratar de ayudarme a resolver mi problema. Te pego aqui en el mensaje el reporte de combofix. Saludos


ComboFix 08-08-08.05 - Administrador 2008-08-08 19:08:23.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.627 [GMT -3:00]
Se ejecuta desde: C:\Documents and Settings\Administrador\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración
* Resident AV is active


ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((( Archivos creados desde 2008-07-08 - 2008-08-08 )))))))))))))))))))))))))))))))))
.

2008-08-07 02:05 . 2008-08-07 02:05 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-08-07 02:05 . 2008-08-07 02:05 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\Malwarebytes
2008-08-07 02:05 . 2008-08-07 02:09 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-08-07 02:05 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-07 02:05 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-07 02:00 . 2008-08-07 02:00 <DIR> d-------- C:\Archivos de programa\FileASSASSIN
2008-08-06 13:45 . 2008-08-06 13:45 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-08-06 02:00 . 2008-08-06 02:00 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-08-05 12:56 . 2008-08-05 12:56 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-08-05 01:39 . 2008-08-05 01:39 <DIR> d-------- C:\Archivos de programa\Yahoo!
2008-08-05 01:39 . 2008-08-05 01:39 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-08-04 02:14 . 2008-08-04 02:14 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\bird dart junk
2008-08-02 15:24 . 2008-08-02 15:24 <DIR> d-------- C:\WINDOWS\system32\xircom
2008-08-02 15:24 . 2008-08-02 15:24 <DIR> d-------- C:\WINDOWS\system32\oobe
2008-08-02 15:24 . 2008-08-02 15:24 <DIR> d-------- C:\WINDOWS\srchasst
2008-08-02 15:24 . 2008-08-02 15:24 <DIR> d-------- C:\WINDOWS\msagent
2008-08-02 15:24 . 2008-08-02 15:24 <DIR> d-------- C:\Archivos de programa\microsoft frontpage
2008-08-02 14:58 . 2008-08-03 14:37 <DIR> d-a------ C:\Documents and Settings\All Users\Datos de programa\TEMP
2008-08-02 14:58 . 2008-08-03 14:37 <DIR> d-------- C:\Archivos de programa\Spyware Doctor
2008-08-01 14:54 . 2008-08-04 02:57 <DIR> d-------- C:\Archivos de programa\SpyBro
2008-08-01 14:34 . 2008-08-03 14:37 <DIR> d-------- C:\Archivos de programa\Panda Security
2008-08-01 11:27 . 2008-07-28 11:09 20,992 ---h----- C:\Documents and Settings\Administrador\byvsja.exe
2008-07-23 17:42 . 2008-07-23 17:42 <DIR> d-------- C:\Archivos de programa\bird dart junk
2008-07-22 23:07 . 2008-07-22 23:07 8,192 --a------ C:\WINDOWS\REGLOCS.OLD
2008-07-22 23:06 . 2008-07-22 23:06 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\BVRP Software
2008-07-22 23:06 . 2008-07-22 23:07 <DIR> d-------- C:\Archivos de programa\mobile PhoneTools
2008-07-22 23:06 . 2003-12-25 20:22 24,192 --------- C:\WINDOWS\system32\drivers\USBSER.SYS
2008-07-22 23:03 . 2008-07-22 23:03 <DIR> d-------- C:\Archivos de programa\Mobile Phone Tools 3
2008-07-18 15:39 . 2008-07-18 15:39 587,264 --a------ C:\WINDOWS\WLXPGSS.SCR
2008-07-16 21:56 . 2008-07-16 21:56 901,512 --a------ C:\Archivos de programa\GoogleToolbarInstaller.exe

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-08-08 22:08 --------- d-----w C:\Archivos de programa\Eset
2008-08-04 05:15 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\comp two long internet
2008-07-23 02:07 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2008-07-18 15:12 --------- d-----w C:\Archivos de programa\Google
2008-06-20 17:41 248,320 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:41 248,320 ------w C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:41 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 10:44 138,368 ------w C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-20 09:52 225,920 ------w C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-14 17:59 272,512 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-14 17:59 272,512 ------w C:\WINDOWS\system32\dllcache\bthport.sys
2008-05-18 02:02 2,088 ----a-w C:\mediamp3.dat
2008-05-08 12:28 202,752 ------w C:\WINDOWS\system32\dllcache\rmcast.sys
2008-04-23 18:14 2,018,372 ----a-w C:\Archivos de programa\aresregular209_installer.exe
2008-04-23 18:02 7,727,880 ----a-w C:\Archivos de programa\Google_Earth_CZXV.exe
2008-03-21 22:58 22,328 ----a-w C:\Documents and Settings\Administrador\Datos de programa\PnkBstrK.sys
.

------- Sigcheck -------

2004-08-19 10:42 30208 84ad8e1b758c1abea80cfcc087be0ed3 C:\WINDOWS\system32\ctfmon.exe
2004-08-19 10:42 15360 25ecfa69af1563fde8dfd31f9954497a C:\WINDOWS\XPize\Backup\ctfmon.exe

2006-12-17 22:18 57856 ad3d9d191aea7b5445fe1d82ffbb4788 C:\WINDOWS\system32\spoolsv.exe
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 10:42 30208]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe" [2008-04-16 21:32 68856]
"MsnMsgr"="C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184]
"PcSync"="C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-06-27 16:21 1449984]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"nod32kui"="C:\Archivos de programa\Eset\nod32kui.exe" [2008-03-20 07:06 921600]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-04 21:41 8523776]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray. dll" [2007-12-04 21:41 81920]
"Sony Ericsson PC Suite"="C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17 159744]
"PCSuiteTrayApplication"="C:\ARCHIV~1\Nokia\NOKIAP ~1\LAUNCH~1.EXE" [2006-06-15 12:36 229376]
"WinampAgent"="C:\Archivos de programa\Winamp\winampa.exe" [2008-04-01 15:49 36352]
"nwiz"="nwiz.exe" [2007-12-04 21:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-27 03:20 16844800 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2007-08-03 02:22 1826816 C:\WINDOWS\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 10:42 30208]

C:\Documents and Settings\Administrador\Men£ Inicio\Programas\Inicio\
Herramienta de b£squeda de soportes de Picture Motion Browser.lnk - C:\Archivos de programa\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe [2008-03-24 23:08:50 376832]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system]
"DisableStatusMessages"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\explorer]
"NoDesktopCleanupWizard"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoResolveSearch"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoResolveSearch"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"=hex(2):58,50,69,7a,65,5f,4c,6f,67,6f,6e,2 e,65,78,65,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.MJPG"= mtkjpeg.dll

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Archivos de programa\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"C:\\Archivos de programa\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Archivos de programa\\Ares\\Ares.exe"=
"C:\\Archivos de programa\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=

R2 PPCLASS;PPCLASS;C:\WINDOWS\system32\drivers\PPCLAS S.sys [1997-04-09 16:08]
R2 PPSCAN;PPSCAN;C:\WINDOWS\system32\drivers\PPSCAN.s ys [1999-02-10 21:38]
S3 iadusb;MT882;C:\WINDOWS\system32\DRIVERS\glauiad.s ys []
S3 k310bus;Sony Ericsson K310 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\k310bus.sys [2006-03-10 13:03]
S3 k310mdfl;Sony Ericsson K310 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\k310mdfl.sys [2006-03-10 13:03]
S3 k310mdm;Sony Ericsson K310 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\k310mdm.sys [2006-03-10 13:03]
S3 k310mgmt;Sony Ericsson K310 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\k310mgmt.sys [2006-03-10 13:03]
S3 k310obex;Sony Ericsson K310 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\k310obex.sys [2006-03-10 13:03]
S3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2006-12-17 23:19]
S3 w200bus;Sony Ericsson W200 driver (WDM);C:\WINDOWS\system32\DRIVERS\w200bus.sys [2006-11-07 09:42]
S3 w200mdfl;Sony Ericsson W200 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\w200mdfl.sys [2006-11-07 09:42]
S3 w200mdm;Sony Ericsson W200 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\w200mdm.sys [2006-11-07 09:42]
S3 w200mgmt;Sony Ericsson W200 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\w200mgmt.sys [2006-11-07 09:42]
S3 w200obex;Sony Ericsson W200 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\w200obex.sys [2006-11-07 09:42]
S3 w300bus;Sony Ericsson W300 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\w300bus.sys [2006-03-13 15:49]
S3 w300mdfl;Sony Ericsson W300 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\w300mdfl.sys [2006-03-13 15:50]
S3 w300mdm;Sony Ericsson W300 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\w300mdm.sys [2006-03-13 15:50]
S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\w300mgmt.sys [2006-03-13 15:50]
S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\w300obex.sys [2006-03-13 15:50]

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{2105d526-f677-11dc-96ec-001e8c21404b}]
\Shell\AutoRun\command - G:\PMB_P.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Contenido de carpeta 'Tareas Programadas'

2008-08-07 C:\WINDOWS\Tasks\Comprobar actualizaciones de Windows Live Toolbar.job
- C:\Archivos de programa\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]
.
.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.micros oft:en-US&ie=utf8&oe=utf8
R0 -: HKCU-Main,Start Page = hxxp://www.windowsue.com
R0 -: HKLM-Main,Start Page = hxxp://www.windowsue.com

O16 -: {193C772A-87BE-4B19-A7BB-445B226FE9A1} - hxxp://downloads.ewido.net/ewidoOnlineScan.cab
C:\WINDOWS\Downloaded Program Files\ewidoOnlineScan.dll


************************************************** ************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-08 19:09:34
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

C:\Documents and Settings\Administrador\byvsja.exe [1424] 0x862F4020

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
--------------------- DLLs cargados bajo los procesos en ejecución ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Archivos de programa\Eset\pr_imon.dll
.
Tiempo completado: 2008-08-08 19:09:57
ComboFix-quarantined-files.txt 2008-08-08 22:09:55

Pre-Run: 38,989,152,256 bytes libres
Post-Run: 39,015,849,984 bytes libres

184 --- E O F --- 2008-08-07 05:44:59


lo pegue en dos partes porque era demasiado largo y no me lo permitia

Pues no hay mucho que explicar en los pasos que no se haya mencionado en las indicaciones.

Hijackthis es una herramienta de diagnóstico y reparación asistida, ComboFix es una herramienta de diagnóstico y reparación automática/asistida, esta herramienta elimina muchos malwares de manera automática, pero a la vez brinda un reporte bastante detallado de los procesos del sistema y entradas de registro asociadas a dichos procesos de manera que una persona especializada en análisis de este reporte pueda ayudarte a eliminar los malwares.

Sigue estos pasos:

1.-Abrir el Notepad

• Clic en INICIO > EJECUTAR >
• Y ahí pones notepad.exe y ACEPTAR

2.- Ahora copia y pega este código dentro del Notepad

3.- Graba este archivo con el nombre CFScript.txt

4.- Arrastrar y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.



Reinicia y nos cuentas los resultados. junto con un nuevo reporte de ComboFix.

Saludos

aqui esta el nuevo reporte

ComboFix 08-08-09.06 - Administrador 2008-08-10 14:39:02.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.663 [GMT -3:00]
Se ejecuta desde: C:\Documents and Settings\Administrador\Escritorio\ComboFix.exe
* Resident AV is active


ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((( Archivos creados desde 2008-07-10 - 2008-08-10 )))))))))))))))))))))))))))))))))
.

2008-08-10 14:10 . 2008-08-10 14:10 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configura ci¾n local
2008-08-10 14:10 . 2008-08-10 14:10 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuraci¾n local
2008-08-10 14:10 . 2008-08-10 14:10 <DIR> d-------- C:\Documents and Settings\LocalService\Configuraci¾n local
2008-08-10 14:10 . 2008-08-10 14:10 <DIR> d-------- C:\Documents and Settings\Administrador\Configuraci¾n local
2008-08-07 02:05 . 2008-08-07 02:05 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-08-07 02:05 . 2008-08-07 02:05 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\Malwarebytes
2008-08-07 02:05 . 2008-08-07 02:09 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-08-07 02:05 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-07 02:05 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-07 02:00 . 2008-08-07 02:00 <DIR> d-------- C:\Archivos de programa\FileASSASSIN
2008-08-06 13:45 . 2008-08-06 13:45 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-08-06 02:00 . 2008-08-06 02:00 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-08-05 12:56 . 2008-08-05 12:56 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-08-05 01:39 . 2008-08-05 01:39 <DIR> d-------- C:\Archivos de programa\Yahoo!
2008-08-05 01:39 . 2008-08-05 01:39 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-08-02 15:24 . 2008-08-02 15:24 <DIR> d-------- C:\WINDOWS\system32\xircom
2008-08-02 15:24 . 2008-08-02 15:24 <DIR> d-------- C:\WINDOWS\system32\oobe
2008-08-02 15:24 . 2008-08-02 15:24 <DIR> d-------- C:\WINDOWS\srchasst
2008-08-02 15:24 . 2008-08-02 15:24 <DIR> d-------- C:\WINDOWS\msagent
2008-08-02 15:24 . 2008-08-02 15:24 <DIR> d-------- C:\Archivos de programa\microsoft frontpage
2008-08-02 14:58 . 2008-08-03 14:37 <DIR> d-a------ C:\Documents and Settings\All Users\Datos de programa\TEMP
2008-08-02 14:58 . 2008-08-03 14:37 <DIR> d-------- C:\Archivos de programa\Spyware Doctor
2008-08-01 14:54 . 2008-08-04 02:57 <DIR> d-------- C:\Archivos de programa\SpyBro
2008-08-01 14:34 . 2008-08-03 14:37 <DIR> d-------- C:\Archivos de programa\Panda Security
2008-07-22 23:07 . 2008-07-22 23:07 8,192 --a------ C:\WINDOWS\REGLOCS.OLD
2008-07-22 23:06 . 2008-07-22 23:06 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\BVRP Software
2008-07-22 23:06 . 2008-07-22 23:07 <DIR> d-------- C:\Archivos de programa\mobile PhoneTools
2008-07-22 23:06 . 2003-12-25 20:22 24,192 --------- C:\WINDOWS\system32\drivers\USBSER.SYS
2008-07-22 23:03 . 2008-07-22 23:03 <DIR> d-------- C:\Archivos de programa\Mobile Phone Tools 3
2008-07-18 15:39 . 2008-07-18 15:39 587,264 --a------ C:\WINDOWS\WLXPGSS.SCR
2008-07-16 21:56 . 2008-07-16 21:56 901,512 --a------ C:\Archivos de programa\GoogleToolbarInstaller.exe

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-08-08 22:08 --------- d-----w C:\Archivos de programa\Eset
2008-07-23 02:07 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2008-07-18 15:12 --------- d-----w C:\Archivos de programa\Google
2008-06-20 17:41 248,320 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:41 248,320 ------w C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:41 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 10:44 138,368 ------w C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-20 09:52 225,920 ------w C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-14 17:59 272,512 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-14 17:59 272,512 ------w C:\WINDOWS\system32\dllcache\bthport.sys
2008-05-18 02:02 2,088 ----a-w C:\mediamp3.dat
2008-04-23 18:14 2,018,372 ----a-w C:\Archivos de programa\aresregular209_installer.exe
2008-04-23 18:02 7,727,880 ----a-w C:\Archivos de programa\Google_Earth_CZXV.exe
2008-03-21 22:58 22,328 ----a-w C:\Documents and Settings\Administrador\Datos de programa\PnkBstrK.sys
.

------- Sigcheck -------

2004-08-19 10:42 30208 84ad8e1b758c1abea80cfcc087be0ed3 C:\WINDOWS\system32\ctfmon.exe
2004-08-19 10:42 15360 25ecfa69af1563fde8dfd31f9954497a C:\WINDOWS\XPize\Backup\ctfmon.exe

2006-12-17 22:18 57856 ad3d9d191aea7b5445fe1d82ffbb4788 C:\WINDOWS\system32\spoolsv.exe
.
((((((((((((((((((((((((((((( snapshot@2008-08-08_19.09.47.39 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-08-10 17:40:24 53,248 ----a-w C:\WINDOWS\temp\catchme.dll
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 10:42 30208]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe" [2008-04-16 21:32 68856]
"MsnMsgr"="C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184]
"PcSync"="C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-06-27 16:21 1449984]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"nod32kui"="C:\Archivos de programa\Eset\nod32kui.exe" [2008-03-20 07:06 921600]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-04 21:41 8523776]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray. dll" [2007-12-04 21:41 81920]
"Sony Ericsson PC Suite"="C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17 159744]
"PCSuiteTrayApplication"="C:\ARCHIV~1\Nokia\NOKIAP ~1\LAUNCH~1.EXE" [2006-06-15 12:36 229376]
"WinampAgent"="C:\Archivos de programa\Winamp\winampa.exe" [2008-04-01 15:49 36352]
"nwiz"="nwiz.exe" [2007-12-04 21:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-27 03:20 16844800 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2007-08-03 02:22 1826816 C:\WINDOWS\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 10:42 30208]

C:\Documents and Settings\Administrador\Men£ Inicio\Programas\Inicio\
Herramienta de b£squeda de soportes de Picture Motion Browser.lnk - C:\Archivos de programa\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe [2008-03-24 23:08:50 376832]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system]
"DisableStatusMessages"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\explorer]
"NoDesktopCleanupWizard"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoResolveSearch"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoResolveSearch"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"=hex(2):58,50,69,7a,65,5f,4c,6f,67,6f,6e,2 e,65,78,65,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.MJPG"= mtkjpeg.dll

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Archivos de programa\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"C:\\Archivos de programa\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Archivos de programa\\Ares\\Ares.exe"=
"C:\\Archivos de programa\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=

R2 PPCLASS;PPCLASS;C:\WINDOWS\system32\drivers\PPCLAS S.sys [1997-04-09 16:08]
R2 PPSCAN;PPSCAN;C:\WINDOWS\system32\drivers\PPSCAN.s ys [1999-02-10 21:38]
S3 iadusb;MT882;C:\WINDOWS\system32\DRIVERS\glauiad.s ys []
S3 k310bus;Sony Ericsson K310 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\k310bus.sys [2006-03-10 13:03]
S3 k310mdfl;Sony Ericsson K310 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\k310mdfl.sys [2006-03-10 13:03]
S3 k310mdm;Sony Ericsson K310 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\k310mdm.sys [2006-03-10 13:03]
S3 k310mgmt;Sony Ericsson K310 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\k310mgmt.sys [2006-03-10 13:03]
S3 k310obex;Sony Ericsson K310 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\k310obex.sys [2006-03-10 13:03]
S3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2006-12-17 23:19]
S3 w200bus;Sony Ericsson W200 driver (WDM);C:\WINDOWS\system32\DRIVERS\w200bus.sys [2006-11-07 09:42]
S3 w200mdfl;Sony Ericsson W200 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\w200mdfl.sys [2006-11-07 09:42]
S3 w200mdm;Sony Ericsson W200 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\w200mdm.sys [2006-11-07 09:42]
S3 w200mgmt;Sony Ericsson W200 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\w200mgmt.sys [2006-11-07 09:42]
S3 w200obex;Sony Ericsson W200 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\w200obex.sys [2006-11-07 09:42]
S3 w300bus;Sony Ericsson W300 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\w300bus.sys [2006-03-13 15:49]
S3 w300mdfl;Sony Ericsson W300 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\w300mdfl.sys [2006-03-13 15:50]
S3 w300mdm;Sony Ericsson W300 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\w300mdm.sys [2006-03-13 15:50]
S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\w300mgmt.sys [2006-03-13 15:50]
S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\w300obex.sys [2006-03-13 15:50]

*Newly Created Service* - CATCHME
.
Contenido de carpeta 'Tareas Programadas'

2008-08-10 C:\WINDOWS\Tasks\Comprobar actualizaciones de Windows Live Toolbar.job
- C:\Archivos de programa\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]
.
.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.micros oft:en-US&ie=utf8&oe=utf8
R0 -: HKCU-Main,Start Page = hxxp://www.windowsue.com
R0 -: HKLM-Main,Start Page = hxxp://www.windowsue.com

O16 -: {193C772A-87BE-4B19-A7BB-445B226FE9A1} - hxxp://downloads.ewido.net/ewidoOnlineScan.cab
C:\WINDOWS\Downloaded Program Files\ewidoOnlineScan.dll


************************************************** ************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-10 14:40:24
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
--------------------- DLLs cargados bajo los procesos en ejecución ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Archivos de programa\Eset\pr_imon.dll
.
Tiempo completado: 2008-08-10 14:40:49
ComboFix-quarantined-files.txt 2008-08-10 17:40:46
ComboFix2.txt 2008-08-10 17:10:30
ComboFix3.txt 2008-08-08 22:09:58

Pre-Run: 38,997,721,088 bytes libres
Post-Run: 38,986,518,528 bytes libres

184 --- E O F --- 2008-08-07 05:44:59

El reporte está limpio, coméntanos como está funcionando el sistema ahora.

Hola Gpastor, aparentemente funciona correctamente, mis contactos ya no reciben el virus y ya no se encuentra en ninguna de las carpetas donde antes se localizaba.
Agradezco tu ayuda, y el tiempo que dedicaste en ayudarme ami que soy un desconocido para ti muchas gracias, espero andes bien y gracias. nos vemos en el foro

Para terminar solo te quedaría quitar CF de la siguiente manera:

• Ir a Inicio > Ejecutar
• Escribir lo siguiente: ComboFix /u como muestra la imagen debajo:
  
  
  • 

Esto realizara las siguientes tareas:

• Se borraran:
  • ComboFix: sus archivos y carpetas.
  • VundoFix: copias de seguridad (si está presente)
  • La carpeta C:\Deckard (si está presente)
  • La carpeta C: _OtMoveIt (si está presente)
• Restablece la configuración del reloj.
• Ocultar extensiones de archivo (si es necesario.)
• Oculta los archivos que estaban ocultos
• Reactiva el "Restaurar Sistema"

Para evitar este tipo de infecciones te recomiendo usar un navegador mas seguro como Firefox u Opera

Saludos

mas sencillo consigue un i pod u otro disco y formatea tu pc y mas rapido y no te enredas

Mauricioccoello todo bien con el consejo que me das, pero la idea era evitar si era posible formatear la pc, ultimamente estube muy ocupado y no disponia de tiempo para hacerlo.
Queda todo solucionado, gracias a todos por sus consejos y en especial a Gpastor, seguire sus consejos. chauuu