¡¡¡No sé qué hacer!!! El NOD32 me detecta "Win32/Trojandownloader.Delf.QYTroyano, Win32/TrojanClicker.Delf.CN Trroyano, y otros similares" pero no los elimina... Bajé HijackThis sin entender nada y me dió esta lista que no sé cómo utilizar para limpiar el equipo. ¡¡¡Por favor, ayuda!!! Y desde ya MUCHÍSIMAS GRACIAS.

______________________________________

Logfile of HijackThis v1.99.1
Scan saved at 01:30:20 a.m., on 08/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\vsnct511.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\KVG.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\usuario\Mis documentos\Mis archivos recibidos\Foros de Windows y Seguridad Informatica - Recuperar datos borrados_archivos\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SNCT511] C:\WINDOWS\vsnct511.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: KVG.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\YAHOO!\COMMON\yhexbmesar.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\YAHOO!\COMMON\yhexbmesar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D703D2C-E66D-4CEA-84A5-B00512137CA7}: NameServer = 200.45.0.115,200.45.0.116
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe

___________________________________

Por favor, aclarame si te son conocidos estos procesos que se inician con tu sistema operativo.

C:\WINDOWS\vsnct511.exe
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\KVG.exe

Yo no se de que van pero no sabría decir si son maliciosos o no.

Todo lo demas parece estar bien.

Muchas veces los antivirus no pueden remover archivos maliciosos porque estos se encuentran en uso o porque estan ubicados en la carpeta del restore de Windows y no son accesibles, para eliminar todo el contenido de la carpeta restore, es suficiente desactivar la opcion de restaurar el sistema y volverla a activar.

Como activar/desactivar restaurar el sistema

Así mismo es preferible realizar el escaneo con el antivirus entrando al sistema en modo seguro:

Como reiniciar a prueba de fallos

Te recomiendo tambien que instales alguna herramienta antispyware, porque los troyanos que te reporta tu antivirus son troyanos de descargas que intentrán descargar e instalar otros malwares en tu sistema (probablemente adwares.). Suelen ejecutarse desde los archivos temporales, así que elimina todos los archivos termporales, lo cual puedes hacer por ejemplo con el Disk Cleaner

Puedes encontrar mas informacion sobre el Trojan-Downloader.Win32.Delf.qy bajo el alias de Troj/Dloader-SG en esta pagina:

http://www.sophos.com/virusinfo/analyses/trojdloadersg.html

Ten en cuenta que estos troyanos se te filtran a través de los archivos temporales por navegar en paginas pocos confiables (cracks, porno, etc.) explotando algun bug del navegador (casi siempre el pobre Internet Explorer) por lo tanto te recomiendo emplear algun navegador mas seguro para entrar a paginas dudosas (por ejemplo Mozilla Firefox que puedes descargar desde mi firma o Opera) y no sería mala idea instalar un firewall para impedir que eventuales troyanos logren comunicarse con el Server de pertenencia y recibir instrucciones o descargar otros malwares al sistema.

Gracias por responderme.
Hice las cosas como me decías pero sigue apareciendo el aviso de los Virus sin que se puedan eliminar. Es mas, al analizar nuevamente me aparece lo siguiente: "Se ha detectado infección con Troyano Win32/... en la memoria operativa. NOD32 Sanner no puede limpiar esta infección. No puede ejecutarse acción sobre infección en memoria."
Y en cuanto a la pregunta que me hacías no tengo idea de esos dos procesos con que se inicia el Sistema Operativo (C:\WINDOWS\vsnct511.exe
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\KVG.exe). ¡Muchas gracias!

Inicio >> ejecutar >> msconfig >> pestaña inicio >> desmarca las casillas relativas a esos 2 procesos >> acepta y reinicia.

Podrás reactivarlos en cualquier momento siempre que resulte que eran legales y servian de algo.

Despues escaneate nuevamente a ver si hay suerte.

¡¡¡Gracias por tu paciencia!!!
Nuevamente hice todo como me lo indicaste y todo sigue igual... El cartelito sigue apareciendo
Tal vez esté usando mal el Disk Cleaner
Bueno... espero tu ayuda. ¡¡¡Gracias!!!

Baja la version trial del Spy Sweeper :
http://www.webroot.com/consumer/products/spysweeper
Instálalo usando “Standard Install “opción.
Te pedirá una dirección de email .
Se actualizará.
Luego andá a “Options”>Sweep options” y marca “Sweep all folders on selected drives”
Marca “Local disc C “ ( o pon el que quieres analizar )
Y en “What to Sweep “ selecciona todas las casillas
Haz clic en “Sweep” y comenzará el scaneo
Al finalizar haz clic en “Remove”, clic en “Selected All “ y luego pulsa “Next”
En “Results” selecciona “Session Log “, marca “Save to File “
Guarda el reporte (Log) en un lugar conveniente.
Copia y pega ese log en tu próximo pos junto a un nuevo reporte del Hijack.
Salu2
Caito

Muchísimas gracias.
Realicé todo conforme me lo indicabas, paso a paso. Al momento de teclear "Remove" me pedía la suscripción, de lo contrario quedaba en ese punto. No tengo manera de adquirirlo por este medio, de todos modos lo que me señalaba eran 22 elementos. Diferencié uno claramente, el primero, que logré ubicar (Documents and Settings\Ad Users\Menú Inicio\Programas\Inicio\KVG.exe) pero a la hora de querer eliminarlo me decía un aviso: "Compruebe que el disco no esté lleno ni protegido contra escritura y que el archivo no está actualmente en uso".
No sé si habrá algún programa que se pueda bajar gratis hasta que subsane este inconveniente.
Gracias CAITO por ocuparte de mi problema, si esto lo arreglamos no te prometo que me hago de River pero si le prendo una vela a la Virgen de Luján por vos. ¡¡¡GRACIAS!!!

El error ese que te sal es porue tenes el programa en uso. Cerra el programa ese y despues elimina lo que tengas que eliminar.
Salu2

¡Gracias hermano por tu consejo! Te darás cuenta que no sé ni entiendo demasiado de estas cosas por lo que recurro a Uds. De cualquier manera no puedo eliminar ese elemento, a lo último me daba "Windows no tiene acceso al dispositivo, ruta de acceso o archivo especificado. Puede que no tenga permisos apropiados para tener acceso al elemento."

Ejecuta el HijackThis >> open the misc tools section >> delete a file on reboot >> selecciona este archivo:

C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\KVG.exe

acepta y reinicia inmediatamente el sistema

Qué tal hermanos!!! Yo, cansado de este tema y esclavo del Troyano . Sigo esperando solucionar este problema... He seguido sus consejos y hasta ahora no pude safar de esto. Tal vez no he seguido bien sus sugerencias. He puesto toda mi atención para hacerlo bien.

Una de las cosas que me avisa cuando pongo en NOD32 es: "Ha ocurrido un error mientras se analizaba la memoria operativa. La memoria operativa no puede ser analizada (ha ocurrido un error mientras se cargaba el archivo nod32m1.vxd o durante la comunicación con el servidor de análisis)".

Además, cuando reinicio en modo seguro el NOD32 me señala:

C:\PAGEFILE.SYS-Error abriendo archivo [Acceso denegado] {4}
D:\pagefile.sys-Error abriendo archivo [Acceso denegado] {4}
"E:" y "F:" igual a "D:"

Cuando inicio NORMAL Nod32 me dice:
"Se ha detectado infección con Troyano Win32\TrojanDownloader.Delf.QY en la memoria operativa. NOD32 Scanner no puede limpiar esta infección. No puede ejecutarse acción sobre infección en memoria."

Lo que no entiendo es que cuando entro en modo seguro no detecta NADA el NOD2 y en modo normal si, aunque no puede hacer nada. Supongo que esto tiene que ver con la memoria operativa.

Bueno... no quiero entrar a especular ya que no sé nada... y me confío a la ayuda de Uds.

Es normal, ese archivo es vital para Windows y menos lo tocas mejor te irá.



Te he linkado en un post aqui arriba el enlace a una pagina donde te describen los cambios realizados por ese troyano:

http://www.sophos.com/virusinfo/analyses/trojdloadersg.html

Entra y haz clic en la pestaña Advanced, verás todos los cambios realizados por el troyano. Puesto que los antivirus no suelen revertir todos los cambios realizados por los malwares en el registro, deberías entrar al editor de registro: inicio >> ejecutar >> regedit. Despues respaldarlo por si te equivocas en algo: Selecciona Mi Pc>pica el menú archivo>exportar>asegurate que esté marcada la casilla todos y salvalo. Ahora deberias revertir los cambios realizados por el troyano:



Y si todavia existe, deberias eliminar el archivo:

C:\windows\system32\XPSys.exe

¡¡¡POR FIN!!! ¡¡¡ME LIBRE DEL TROYANO!!!
¡¡¡Muchas gracias ALNITAK!!! y a todos los que me aconsejaron.
Tengo todo en observación ya que me parece mentira haberme liberado de los problemas que me acarreaba esto.
¡¡¡Un abrazo!!! ¡¡¡GRACIAS!!!

Bueno nos alegra que lo hayas solucionado
Por ahora damos este tema por solucionado
Salu2
Caito