Winlogon.Vexe

luisjhonnnatan · 22/3/07

Por favor necesito ayuda, el McAfee me dectecta el virus en la McAfee, me sale que el archivo ha sido eliminado, pero luego lo vuelve a detectar, también tengo instalado el NOD32 lo quiero ejecutar pero me sale el siguiente mensaje:

Se ha detectado infección con Troyano Win32/Wigon.I en la memoria operativa. NOD32 Scanner no puede limpiar esta infección. No puede ejecutarse acción sobre infección en memoria.

yosoydoug · 22/3/07

Antes que nada tienes que tener solo 1 antivirus instalado, des instala uno de los dos en mi opinion quedate con el nod. y a continuacion sigue estos pasos.

Descarga el programa Hijackthis 2.0.0y colócalo en una carpeta propia para el HijackThis (por ejemplo una carpeta C:\HijackThis\). Cierra programas P2P y otras aplicaciones que no arranquen con Windows

Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.

Una vez descargado, da doble click en el icono del HijackThis.exe.

Primero da click en el botón "Config", y aparecerán 7 opciones . Fíjate que no estén tildadas la primera ( “Mark everything found for fixing alter scan”) y la última (“Run Hijack This scan at startup and show it ítems are fond”).Luego presiona "Back"

Para empezar el escaneo de posibles hijackers, clickea en el botón "Scan". Se te presentará una lista con todos los elementos encontrados por el programa .

Un saludo

luisjhonnnatan · 22/3/07

Ok, gracias por la ayuda, este virus ya me esta sacando de mis casillas, espero que con tu ayuda puenda limpiar mi pc, este es es el log:

Logfile of HijackThis v1.99.1

Scan saved at 13:07:54, on 22/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Nero\Nero 7\InCD\InCDsrv.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\apache\mysql\bin\mysqld-nt.exe

C:\Archivos de programa\Eset\nod32krn.exe

c:\apache\APACHE.EXE

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\svchost.exe

c:\apache\APACHE.EXE

C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\ARCHIV~1\Webshots\webshots.scr

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\wuauclt.exe

C:\ARCHIV~1\Yahoo!\MESSEN~1\ymsgr_tray.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\User\Escritorio\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://es.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://es.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://es.search.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://es.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://es.search.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {181EC9B1-56E1-6716-B48F-031BC53C4901} - C:\WINDOWS\system32\bxoflnc.dll (file missing)

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\ARCHIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [vqzketj.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\vqzketj.dll,rjhkbme

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [XoftSpy] C:\Archivos de programa\XoftSpy\XoftSpy.exe -s

O4 - HKCU\..\Run: [mini-Relay] "C:\Documents and Settings\User\Escritorio\miniRelay.exe"

O4 - HKCU\..\Run: [ESPN BottomLine] C:\Archivos de programa\ESPNDeportes\bline.exe

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

O4 - Startup: Webshots.lnk = C:\Archivos de programa\Webshots\Launcher.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\ARCHIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} -

O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/...trolLite_EN.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dxq.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O21 - SSODL: vSrEkgXq - {F022C1EF-5A88-6B45-0B10-F40EC1A763C9} - C:\WINDOWS\system32\rdpcaz.dll (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: LogoMedia TranslateDotNet Server - Unknown owner - C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe (file missing)

O23 - Service: Macromedia Licensing Service - Macromedia - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: MySql - Unknown owner - C:/apache/mysql/bin/mysqld-nt.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: PHPGeekUtil - Unknown owner - c:\apache\APACHE.EXE" --ntservice (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

Lestat · 22/3/07

Empieza haciendo esto:

En Este Orden:

Actualiza tu sistema, Buscar actualizaciones con Windows Update (Si no puedes Omite este paso)

Borra todas las cookies y el registro con CCleaner:

Vete a Panel de Control--> Java y elimina todos los archivos temporales. (Si utilizas JAVA)

Pasale el Avg-antispyware. (Actualizalo, y al acabar el Scaneo elije la opción eliminar, después guarda el report y lo pegas)

Y esta aplicacion también (No necesita instalacion, dale si a todo, el report estará en C:Infosat) Cuando empiece el Scaneo, DESTILDAS la opción de eliminar, a la izquierda de la ventana del programa, No te saltes este paso ElistarA

Que no elimine nada

Pega un nuevo Log del Hijackthis, mas los Reports de Avg-Antispyware y ElistarA.

Un Saludo

luisjhonnnatan · 23/3/07

Ok, muchas gracias por la ayuda segui todo los pasos que me rocomendaste y aquí están los reportes:

---------------------------------------------------------

AVG Anti-Spyware - Informe del análisis

---------------------------------------------------------

+ Creado en: 9:46:34 23/03/2007

+ Resultado del análisis:

C:\Documents and Settings\Invitado\Configuración local\Temp\v4x3.ga2me -> Dropper.Small.avu : Limpios.

E:\PC_ricardo\BACKUP PC RICARDO\INSTALADORES\INSTALADORES OTROS\HT_editor\fff-crack.exe -> Logger.Banker.zn : Limpios.

C:\phptriad\tools\backup\backup.exe -> Not-A-Virus.Exploit.Win32.RealServer.b : Limpios.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts -> Proxy.Small : Limpios.

C:\Documents and Settings\User\Cookies\jhonnatan@atdmt[1].txt -> TrackingCookie.Atdmt : Limpios.

C:\Documents and Settings\Invitado\Cookies\invitado@doubleclick[1].txt -> TrackingCookie.Doubleclick : Limpios.

::Fin del informe

Fri Mar 23 07:22:42 2007

EliStartPage v13.59 ©2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Mar 23 09:47:25 2007

EliStartPage v13.59 ©2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Fri Mar 23 09:49:16 2007

EliStartPage v13.59 ©2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Fri Mar 23 09:52:21 2007

EliStartPage v13.59 ©2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Fri Mar 23 09:52:26 2007

EliStartPage v13.59 ©2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Fri Mar 23 10:06:03 2007

EliStartPage v13.59 ©2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Caito · 23/3/07

Falta el log del hijack

Saludos

Caito

luisjhonnnatan · 23/3/07

Ok, disculpa

Logfile of HijackThis v1.99.1

Scan saved at 11:26:18, on 23/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Nero\Nero 7\InCD\InCDsrv.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\apache\mysql\bin\mysqld-nt.exe

C:\Archivos de programa\Eset\nod32krn.exe

c:\apache\APACHE.EXE

c:\apache\APACHE.EXE

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\ARCHIV~1\Webshots\webshots.scr

C:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE

C:\Archivos de programa\Macromedia\Flash 8\Flash.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\Winamp\RndSkin.exe

C:\Archivos de programa\WinAmp\Winamp.exe

C:\Archivos de programa\Adobe\Adobe Photoshop CS2\Photoshop.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\User\Escritorio\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {181EC9B1-56E1-6716-B48F-031BC53C4901} - C:\WINDOWS\system32\bxoflnc.dll (file missing)

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\ARCHIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [vqzketj.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\vqzketj.dll,rjhkbme

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [mini-Relay] "C:\Documents and Settings\User\Escritorio\miniRelay.exe"

O4 - HKCU\..\Run: [ESPN BottomLine] C:\Archivos de programa\ESPNDeportes\bline.exe

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

O4 - Startup: Webshots.lnk = C:\Archivos de programa\Webshots\Launcher.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\ARCHIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} -

O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/...trolLite_EN.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O21 - SSODL: vSrEkgXq - {F022C1EF-5A88-6B45-0B10-F40EC1A763C9} - C:\WINDOWS\system32\rdpcaz.dll (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: LogoMedia TranslateDotNet Server - Unknown owner - C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe (file missing)

O23 - Service: Macromedia Licensing Service - Macromedia - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: MySql - Unknown owner - C:/apache/mysql/bin/mysqld-nt.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: PHPGeekUtil - Unknown owner - c:\apache\APACHE.EXE" --ntservice (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

luisjhonnnatan · 23/3/07

El nod me sigue dectetando virus en la memoria operativa:

Se ha detectado infección con Troyano Win32/Wigon.I en la memoria operativa. NOD32 Scanner no puede limpiar esta infección. No puede ejecutarse acción sobre infección en memoria.

Muchas gracias por tu ayuda ahora noto mi pc mejor, pero sigue detectando ese virus.

Lestat · 23/3/07

○» Sitúa el HijackThis.exe en una carpeta exclusiva para él (ej. C://Hijackthis/Hijackthis.exe)

○» Descarga el Disk Cleaner e instálalo.

○» Desactiva la opción de Restaurar Sistema, una vez que tu sistema quede limpio la puedes volver a activar.

○» Asegura que tu sistema Muestre los archivos y carpetas ocultos

○» Reinicia en Modo Seguro

○» Ejecuta el HijackThis y da click en el boton "Do a system scan only"

○» Selecciona las casillas de las siguientes entradas y presiona el boton "Fix Checked":

O2 - BHO: (no name) - {181EC9B1-56E1-6716-B48F-031BC53C4901} - C:\WINDOWS\system32\bxoflnc.dll (file missing)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [vqzketj.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\vqzketj.dll,rjhkbme

O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

O21 - SSODL: vSrEkgXq - {F022C1EF-5A88-6B45-0B10-F40EC1A763C9} - C:\WINDOWS\system32\rdpcaz.dll (file missing)

○» Ahora busca y elimina los siguientes archivos y/o carpetas, si existen:

C:\WINDOWS\system32\vqzketj.dll,rjhkbme

C:\Archivos de programa\SpyBro

○» Limpia la papelera y lanza tu Antivirus, pega el report de lo que detecte, incluida la ubicacion de los malwares si los hay.

○» Reinicia tu sistema operativo normalmente

○» Utiliza el Disk Cleaner para eliminar todos los archivos temporales del sistema

○» Coméntame los resultados y publica.

Un Saludo

PD: Instalaste tu esto:

C:\Documents and Settings\User\Escritorio\miniRelay.exe

Nota. Si requieres ayuda con el log del HijackThis crea una "Nueva Discusión" (que sera solo para ti) y plantea tu problema evitando títulos de "Ayuda", "Por favor Ayuda", "Help", "Me revisan el log", etc. y colocando en su lugar una pequeña descripción de tu problema o el proceso que "sospechas" te esta causando los inconvenientes.

</span>

luisjhonnnatan · 26/3/07

Ok, hice todo los pasos que me recomendaste, pero el nod sigue detectando ese virus en la memoria

Logfile of HijackThis v1.99.1

Scan saved at 8:05:41, on 26/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Nero\Nero 7\InCD\InCDsrv.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\apache\mysql\bin\mysqld-nt.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe

c:\apache\APACHE.EXE

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\ARCHIV~1\Webshots\webshots.scr

c:\apache\APACHE.EXE

C:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\Notepad.exe

C:\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\ARCHIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - Startup: Webshots.lnk = C:\Archivos de programa\Webshots\Launcher.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\ARCHIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} -

O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/...trolLite_EN.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: LogoMedia TranslateDotNet Server - Unknown owner - C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe (file missing)

O23 - Service: Macromedia Licensing Service - Macromedia - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: MySql - Unknown owner - C:/apache/mysql/bin/mysqld-nt.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: PHPGeekUtil - Unknown owner - c:\apache\APACHE.EXE" --ntservice (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

Lestat · 26/3/07

Pega el informe o report del Nod y desinstala uno de los dos Antivirus.

Un Saludo

luisjhonnnatan · 26/3/07

OK, gracias por tu ayuda

[4] El archivo no puede ser abierto. Es usado en exclusividad por otra aplicación.

Registro de sucesos

NOD32 Scanner versión 2145 (20070326) NT

Línea de comando: /local /quit-

Comprobación CRC del archivo NOD32.EXE: estado correcto

Se ha detectado infección con Troyano Win32/Wigon.I en la memoria operativa.

Fecha: 26.3.2007 hora: 10:14:17

Discos, directorios y archivos analizados: C:; E:

C:\pagefile.sys - Error abriendo archivo (El archivo está bloqueado) [4]

C:\WINDOWS\system32\winlogon.exe - Win32/Wigon.I Troyano

Cantidad de archivos analizados: 43036

Cantidad de virus detectados: 1

Hora de finalización: 10:25:58 . Tiempo total de análisis: 701 seg (00:11:41)

Notas:

[4] El archivo no puede ser abierto. Es usado en exclusividad por otra aplicación.

---------------------------------------------------------

AVG Anti-Spyware - Informe del análisis

---------------------------------------------------------

+ Creado en: 10:12:44 26/03/2007

+ Resultado del análisis:

C:\Documents and Settings\User\Cookies\jhonnatan@atdmt[1].txt -> TrackingCookie.Atdmt : Limpios.

C:\Documents and Settings\User\Cookies\jhonnatan@ehg-nokiafin.hitbox[1].txt -> TrackingCookie.Hitbox : Limpios.

C:\Documents and Settings\User\Cookies\jhonnatan@hitbox[1].txt -> TrackingCookie.Hitbox : Limpios.

C:\Documents and Settings\User\Cookies\jhonnatan@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Limpios.

C:\Documents and Settings\User\Cookies\jhonnatan@m.webtrends[2].txt -> TrackingCookie.Webtrends : Limpios.

::Fin del informe

Caito · 26/3/07

A ver trata con este:

scan on line:

http://support.f-secure.com/enu/home/ols.shtml

antes desactiva el nod32 (luego lo habilitas otra vez )

nos cuentas

Saludos

Caito

luisjhonnnatan · 26/3/07

Ok esto es el informe del virus online que me recomendaste

Scanning Report

Monday, March 26, 2007 12:03:37 - 13:13:58

Computer name: USER-BCD48F9868

Scanning type: Scan system for viruses, rootkits, spyware

Target: C:\ E:\

--------------------------------------------------------------------------------

Result: 5 malware found

Possible Browser Hijack attempt (spyware)

System (Disinfected)

Tracking Cookie (spyware)

System (Disinfected)

System

System

System

--------------------------------------------------------------------------------

Statistics

Scanned:

Files: 51010

System: 4816

Not scanned: 4

Actions:

Disinfected: 2

Renamed: 0

Deleted: 0

None: 3

Submitted: 0

Files not scanned:

C:\PAGEFILE.SYS

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT

C:\DOCUMENTS AND SETTINGS\USER\CONFIGURACIóN LOCAL\TEMP\PHOTOSHOP TEMP623433

--------------------------------------------------------------------------------

Options

Scanning engines:

F-Secure AVP: 7.0.171, 2007-03-26

F-Secure Blacklight: 1.0.53, 0000-00-00

F-Secure Draco: 1.0.35, 0260-02-44

F-Secure Libra: 2.4.2, 2007-03-24

F-Secure Orion: 1.2.37, 2007-03-26

F-Secure Pegasus: 1.19.0, 2007-02-14

Scanning options:

Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX

Use Advanced heuristics

--------------------------------------------------------------------------------

Caito · 26/3/07

Cómo funciona ahora ?

Saludos

Caito

luisjhonnnatan · 27/3/07

Igual, el NOD sigue detectando al Troyano Win32/Wigon.I en la memoria operativa.

luisjhonnnatan · 27/3/07

Ok, me el nod me sigue detectando el virus troyano en la memoria

Caito · 28/3/07

Prueba con otro antivirus a ver si te elimina:

http://www.kaspersky.com/sp/virusscanner

http://housecall.trendmicro.com/

http://us.mcafee.com/root/mfs/default.asp

http://security.symantec.com/sscv6/default...id=ie&venid=sym

Los mejores antivirus online

Saludos

Caito

luisjhonnnatan · 30/3/07

Muchas gracias por la ayuda Caito, estos son los informes de los antivirus que me recomendaste:

KASPERSKY ONLINE SCANNER INFORME

jueves, 29 de marzo de 2007 10:50:08

Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.0

Ultima actualización: 29/03/2007

Registros en la base antivirus: 272103

Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero

Objetivo a analizar Mi PC

A:\

C:\

D:\

E:\

Estadísticas

Número de objeros analizados 183980

Virus encontrados 1

Objetos infectados 1 / 0

Objetos sospechosos 0

Duración del análisis 02:11:23

Bombre del objeto infectado Nombre del virus Última acción

C:\apache\logs\access.log Object is locked saltado

C:\apache\logs\error.log Object is locked saltado

C:\apache\mysql\data\mysql.err Object is locked saltado

C:\Archivos de programa\Archivos comunes\Adobe\Linguistics\Providers\Proximity\hypex.clm Object is locked saltado

C:\Archivos de programa\ESET\infected\4VVQB2DA.NQF Infectados: Trojan.Win32.Patched.g saltado

C:\Archivos de programa\ESET\logs\virlog.dat Object is locked saltado

C:\Archivos de programa\ESET\logs\warnlog.dat Object is locked saltado

C:\Archivos de programa\HP\hpcoretech\hpcmerr.log Object is locked saltado

C:\Archivos de programa\Yahoo!\Messenger\logs\billing_Jhonnatan.log Object is locked saltado

C:\Archivos de programa\Yahoo!\Messenger\logs\client_Jhonnatan.log Object is locked saltado

C:\Archivos de programa\Yahoo!\Messenger\logs\network_Jhonnatan.log Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\User\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\User\Configuración local\Datos de programa\Ahead\Nero Home\bl.db Object is locked saltado

C:\Documents and Settings\User\Configuración local\Datos de programa\Ahead\Nero Home\bl.db-journal Object is locked saltado

C:\Documents and Settings\User\Configuración local\Datos de programa\Ahead\Nero Home\is2.db Object is locked saltado

C:\Documents and Settings\User\Configuración local\Datos de programa\Ahead\Nero Home\is2.db-journal Object is locked saltado

C:\Documents and Settings\User\Configuración local\Datos de programa\Microsoft\Messenger\luisjhonnnatan@hotmail.com\SharingMetadata\Logs\Dfsr00005.log Object is locked saltado

C:\Documents and Settings\User\Configuración local\Datos de programa\Microsoft\Messenger\luisjhonnnatan@hotmail.com\SharingMetadata\pending.dat Object is locked saltado

C:\Documents and Settings\User\Configuración local\Datos de programa\Microsoft\Messenger\luisjhonnnatan@hotmail.com\SharingMetadata\Working\database_7CF0_2302_F022_C1EE\dfsr.db Object is locked saltado

C:\Documents and Settings\User\Configuración local\Datos de programa\Microsoft\Messenger\luisjhonnnatan@hotmail.com\SharingMetadata\Working\database_7CF0_2302_F022_C1EE\fsr.log Object is locked saltado

C:\Documents and Settings\User\Configuración local\Datos de programa\Microsoft\Messenger\luisjhonnnatan@hotmail.com\SharingMetadata\Working\database_7CF0_2302_F022_C1EE\fsrtmp.log Object is locked saltado

C:\Documents and Settings\User\Configuración local\Datos de programa\Microsoft\Messenger\luisjhonnnatan@hotmail.com\SharingMetadata\Working\database_7CF0_2302_F022_C1EE\tmp.edb Object is locked saltado

C:\Documents and Settings\User\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\User\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\User\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\luisjhonnnatan@hotmail.com\real\members.stg Object is locked saltado

C:\Documents and Settings\User\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\luisjhonnnatan@hotmail.com\shadow\members.stg Object is locked saltado

C:\Documents and Settings\User\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\User\Configuración local\Historial\History.IE5\MSHist012007032920070330\index.dat Object is locked saltado

C:\Documents and Settings\User\Configuración local\Temp\Perflib_Perfdata_d94.dat Object is locked saltado

C:\Documents and Settings\User\Configuración local\Temp\Photoshop Temp123321 Object is locked saltado

C:\Documents and Settings\User\Configuración local\Temp\~DF257D.tmp Object is locked saltado

C:\Documents and Settings\User\Configuración local\Temp\~DF2598.tmp Object is locked saltado

C:\Documents and Settings\User\Configuración local\Temp\~DF2E3.tmp Object is locked saltado

C:\Documents and Settings\User\Configuración local\Temp\~DF2EE.tmp Object is locked saltado

C:\Documents and Settings\User\Configuración local\Temp\~DF3E68.tmp Object is locked saltado

C:\Documents and Settings\User\Configuración local\Temp\~DF4B23.tmp Object is locked saltado

C:\Documents and Settings\User\Configuración local\Temp\~DF53ED.tmp Object is locked saltado

C:\Documents and Settings\User\Configuración local\Temp\~DF53FB.tmp Object is locked saltado

C:\Documents and Settings\User\Configuración local\Temp\~DF865D.tmp Object is locked saltado

C:\Documents and Settings\User\Configuración local\Temp\~DF987.tmp Object is locked saltado

C:\Documents and Settings\User\Configuración local\Temp\~DF995.tmp Object is locked saltado

C:\Documents and Settings\User\Configuración local\Temp\~DFB87.tmp Object is locked saltado

C:\Documents and Settings\User\Configuración local\Temp\~DFBD27.tmp Object is locked saltado

C:\Documents and Settings\User\Configuración local\Temp\~DFFE6A.tmp Object is locked saltado

C:\Documents and Settings\User\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\User\Escritorio\JMS\JMS WD\CLIENTS\Jiri\jiriweb\bio_eng.fla Object is locked saltado

C:\Documents and Settings\User\Escritorio\JMS\JMS WD\CLIENTS\Jiri\jiriweb\diet_eng.fla Object is locked saltado

C:\Documents and Settings\User\Escritorio\JMS\JMS WD\CLIENTS\Jiri\jiriweb\home_eng.fla Object is locked saltado

C:\Documents and Settings\User\Escritorio\JMS\JMS WD\CLIENTS\Jiri\jiriweb\menu_eng.fla Object is locked saltado

C:\Documents and Settings\User\Escritorio\JMS\JMS WD\CLIENTS\Jiri\jiriweb\training_eng.fla Object is locked saltado

C:\Documents and Settings\User\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\User\ntuser.dat.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\system32\winlogon.exe Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

Análisis completado.

*****************************************************************
Symantec

C:\WINDOWS\system32\winlogon.exe is infected with Trojan.Pandex!inf

C:\Documents and Settings\Invitado\Configuración local\Temp\vx3t2.game is infected with Trojan.Packed.13

Casi todos lo antivirus coinciden en que winlogon.exe esta infectado, pero ninguno lo puede desinfectar, no se que hacer ya.

lobezzno · 30/3/07

Sigue los pasos que explica Elranix para reparar tu Windows XP.

Esto hará que se sobreescriba el archivo infectado por el original sin infectar.

Una vez hecho pásale nuevamente el antivirus y dinos si te vuelve a detectar algo.

Un saludo y esperamos tu respuesta.

Winlogon.Vexe

Nuevo Miembro

Ex- Mod

Nuevo Miembro

Ex- Mod

Nuevo Miembro

Ex- Mod

Nuevo Miembro

Nuevo Miembro

Ex- Mod

Nuevo Miembro

Ex- Mod

Nuevo Miembro

Ex- Mod

Nuevo Miembro

Ex- Mod

Nuevo Miembro

Nuevo Miembro

Ex- Mod

Nuevo Miembro

Miembro Activo