Virus que me ataca por todos los flancos! (log incluido)

Hola gente! les cuento que estoy teniendo problemas para eliminar un virus desde hace unos dias. Primero y principal cabe aclarar que la culpa es totalmente mia porque, al formatear la PC, olvide de instalar el antivirus y empece a bajar cosas posiblemente dañinas. No soy un novato en esto, pero si soy distraido, y por eso pago las consecuencias



Tengo Windows XP Pro SP-2 y el disco particionado en 2. El virus en cuestion, del cual no se el nombre, me ataca por varios lados.



- Primero, no me deja ver archivos ocultos (tipico), cuando voy a opciones de carpeta y tildo la casilla de mostrar archivos ocultos y le doy aceptar, no pasa nada, vuelvo y sigue igual. Busque y encontre una posible solucion que era cambiando el valor de un archivo del registro, pero no me funciono. Al final lo solucione parcialmente (ya que al tiempo vuelve a pasarme lo mismo) con un archivo que encontre navegando llamado "mata_virus_amvo_usb.vbs"



- Segundo, cuando quiero desactivar el restaurar el sistema (yendo desde la ayuda de windows, no desde propiedades de mi pc) me aparece el siguiente mensaje: "restaurar el sistema ha sido desactivado por una directiva de grupo. para activarlo, pongase en contacto con su administrador de dominio". No estoy seguro de que esto sea causa del virus, pero como estoy usando la cuenta de administrador y no tengo limitaciones de nada, me levanta sospecha



- Tercero, de vez en cuando se me cae la conexion a internet y vuelve al rato. Estoy segurisimo que no es problema de la conexion en si, sino que es un efecto del virus. Solo puedo conectarme en modo a prueba de fallos con funciones de red (qe es como estoy ahora)



- Cuarto, cuando intento abrir cualquier cosa que tenga relacion con el panel de control, me sale el siguiente mensaje: "windows no puede encontrar el archivo 'C:\WINDOWS\system32\rundll32.exe'. asegurese de que la ruta y el nombre de archivo estan escritos correctamente y vuelva a intentarlo" (es por este motivo que intente desactivar la restauracion del sistema desde el otro metodo)



- Quinto, y aca empieza lo especifico. Aunque los borre, se me crean los siguientes archivos en el directorio C:\ (donde tengo windows):

d.exe, d1.exe, d2.exe, rdafenj.exe, sisonvnp.exe, yvcmiucb.exe y vva0hc0p.cmd



- Sexto, en la particion F:\, que es donde no tengo instalado ningun sistema operativo, solo instalo juegos y meto archivos sueltos (y es aqui donde tengo las carpetas de descarga, por lo que seguramente baje el archivo que me infecto la PC), se me crean los siguientes archivos:

2fiji.com, 68.exe, cdwfql2v.com, fn20.exe, gkbrewsv.com, itsduel.exe, nq0cq.cmd, obehha.com, r8wb.bat, vva0hc0p.cmd, xih9.cmd, yjkjfuo.cmd



- Septimo (si, dije por varios lados jajaja), cuando abro la PC en modo normal, el ESET security me tira una advertencia (que ahora no recuerdo bien porque estoy en modo seguro) que tiene que ver con la siguiente direccion: http://aaqarkznvb.com/progs/mslvzj/vfccfst.php. tambien hay otras similares con nombres raros



Bueno por ahora es todo lo que se sobre esta amenaza. Les digo que corri el Ccleaner varias veces, el Spyware doctor, el NOD 32 antivirus, el kaspersky (o como se llame) online, etc, y si bien el problema parecia solucionado, volvio a atacarme nuevamente.



Como lo prometido es deuda, aqui les dejo mi log del Hijack This (lo hice en modo normal para que aparezca todo todo)



--------



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 3:55:32, on 11/11/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\windows\explorer.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 5.exe

C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe

C:\Archivos de programa\ESET\ESET Smart Security\egui.exe

C:\Archivos de programa\Spyware Doctor\pctsTray.exe

C:\WINDOWS\System32\rs32net.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe

C:\Archivos de programa\WinSnap\WinSnap.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\Administrador\Datos de programa\Adobe\Player.exe

C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe

C:\Archivos de programa\Archivos comunes\Logishrd\KHAL2\KHALMNPR.EXE

C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Archivos de programa\Bonjour\mDNSResponder.exe

C:\Archivos de programa\ESET\ESET Smart Security\ekrn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Spyware Doctor\pctsAuxs.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

c:\yvcmiucb.exe

C:\HackThis\HiJackThis_v2.exe

C:\WINDOWS\System32\rs32net.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\rs32net.exe

C:\WINDOWS\System32\svchost.exe



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=c:\windows\explorer.exe

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Archivos de programa\Megaupload\Mega Manager\MegaIEMn.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 5.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [ISTray] "C:\Archivos de programa\Spyware Doctor\pctsTray.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe

O4 - HKLM\..\RunServices: [cftm] C:\WINDOWS\system32\cftm.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WinSnap] C:\Archivos de programa\WinSnap\WinSnap.exe /startup

O4 - HKCU\..\Run: [] C:\Documents and Settings\Administrador\Datos de programa\Adobe\Player.exe

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - Global Startup: Logitech SetPoint.lnk = C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~4\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O15 - Trusted Zone: http://asia.msi.com.tw

O15 - Trusted Zone: http://global.msi.com.tw

O15 - Trusted Zone: http://www.msi.com.tw

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.1...toUploader5.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish...an_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownlo.../sysreqlab3.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1223123327875

O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobio...ne/install.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{425385BC-E8AE-4D90-BFBD-3EFBF20475C9}: NameServer = 200.63.155.194,200.63.155.66

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\ekrn.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Archivos de programa\Archivos comunes\Logishrd\Bluetooth\LBTServ.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsAuxs.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Archivos de programa\Windows Media Player\WMPNetwk.exe



--

End of file - 9718 bytes



--------



Si el problema no es el indicado para esta seccion del foro, por favor pido que me avisen y lo traslado a donde corresponda.



Desde ya debo agradecer simplemente por haberse todado el tiempo y el trabajo de interesarse en mi problema, tengan o no la solucion eso ya es muy importante.



Les mando un cordial saludo desde Buenos Aires. Y gracias nuevamente!

Empieza haciendo esto:



En Este Orden:



Actualiza tu sistema, Aqui (Si no puedes Omite este paso)



Borra todas las cookies y el registro con CCleaner:



Vete a Panel de Control--> Java y elimina todos los archivos temporales. (Si utilizas JAVA)



Borrar archivos temporales--> Desde Inicio, Ejecutar, escribe %TEMP%, pulsa Enter y elimina todo el contenido.



Pasale el Malwarebytes. Luego del proceso de scaneo nos aparecerá este mensaje:

"El exámen ha terminado con éxito.Click en mostrar resultados para ver todos los objetos hallados".

Nos encontraremos con el resumen de lo hallado y hacemos click en "Mostrar Resultados"(abajo a la derecha)

Luego en la siguiente pantalla hacemos click en "Quitar lo seleccionado"(abajo a la izquierda).

Por último se nos mostrará el reporte del análisis y lo realizado por el programa, ese reporte lo debes copiar y pegar junto a un nuevo log del Hijack.



Ademas, haz un Scan on Line



Pega un nuevo Log del Hijackthis, mas los Reports de Avg-Antispyware y el Scan on Line.



Un Saludo