Hola amigos: me gustaría comentaros un problema que vengo sufriendo desde que intalé la versión completa, no demo, de KIS (7.0.0.125) Varias veces, uatro o cinco, he tenido que reinstalar porque al iniciar mi ordenador no aparecía instalado el KIS ni estaba funcionando. Además, supongo que es por eso, me está mandando mensajes constantemente de que tengo:

Infectado: programa espía not-a-virus:AdWare.Win32.Virtumonde.cli c:\windows\system32\vturs.exe 328,5 KB
Y en distintas versiones:

Infectado: programa espía not-a-virus:AdWare.Win32.Virtumonde.dgy c:\documents and settings\equipo\configuración local\archivos temporales de internet\content.ie5\4d6349if\ca1g4nh9 326,4 KB

Infectado: programa espía not-a-virus:AdWare.Win32.Virtumonde.bjl C:\Documents and Settings\equipo\Configuración local\Archivos temporales de Internet\Content.IE5\GXIBO5AR\ggdll[1] 84 KB

Etc...

Además me aparece, también regularmente ( cada minuto 2 ó 3) que tengo detectado: software de riesgo Hidden data sending Proceso en ejecución: C:\WINDOWS\explorer.exeHidden.


Proceso C:\WINDOWS\Explorer.EXE (PID: 580) intenta enviar datos a través de una aplicación de confianza.

Dirección objetivo:
http://tresni.net/index.html/

Datos:
i

Datos codificados:
cmp=aff&lid=pcronenetwork3_pcr-on-kaspersky&nid=GG&affid=68501&guid=EC11027364294DEDB02698442609FF57%26647F9F54AFEF11DC867EF68501EEFFFF&url=http:%2F%2Fsend.onenetworkdirect.net%2Fz%2F5822%2FCD93985%2F
Referer: http://pcregain.com/vendors.php

Estoy como loco porque me ralentiza el funcionamiento una barbaridad y además me sigue apareciendo como que detecta un virus lo elimina pero vuelve a aparecer. ¿Qué hacer?. Gracias

Bievenido al foro

Para los virus.
Primero elimina los archivos temporales de internet.
Luego crea un disco de rescate con el Kis. Arranca con ese disco y pasa el antivirus a todo el ordenador.

Saludos

Actualiza las firmas de virus de Kaspersky, inicia en el equipo en modo seguro, y realiza un escaneo completo de tu equipo.
Instalate el Spybot - Search & Destroy o el superantispyware y realiza también un escaneo completo.
Parece ser que te han metido un regalito ad-aware.

El KIS lo tienes correctamente instalado y actualizado?

Revisate estos post:

http://forum.kaspersky.com/index.php?showtopic=51952

http://forum.kaspersky.com/index.php?showtopic=49552

Saludos

RadarpSP, eso se contradice con lo que "CAOS" a dicho:



Fuente del comentario de Caos:

http://forum.kaspersky.com/index.php?s=&am...st&p=515270

Otra fuente:

http://forum.kaspersky.com/index.php?s=&am...st&p=513801



Ademas si crea un disco de emergencia con el computador infectado, siempre aparecera de nuevo la amenaza...???? o algo malo saldra.

Saludos...

Si tu dijiste esto:



Entonces para que necesita instalar otros software: Spybot - Search & Destroy o el superantispyware?

Pero la mejor solucion te la ha dado Caos:

Actualiza las firmas de virus de Kaspersky, inicia en el equipo en modo seguro, y realiza un escaneo completo de tu equipo.

Pero te sugiero que aumentes el nivel de analice de kaspersky al maximo, eso tambien incluye aumentar la Heuristica al maximo. Prueba primero eso y despues instala los software que te han recomendado, en caso que el KIS no detecte nada. Suerte.

Si nada de lo sugerido funciona, hazlo saber y te recomendare por un MP que descargues mi version de disco de emergencia.

Y si aun no detectan nada los software recomendados.
Te puedo sugerir una aplicacion portable y actualizable para quitar esa amenaza.
Solo tendiras que entrar en modo seguro con windows, ejecutar la aplicacion y configurarla un poquito y ha escanear sea dicho.

Creo que es mas sencillo esa ultima opcion que las anterirores, pues tendrias que instalar un monton de programas y ejecutar cada uno de ellos en diferentes tiempos.

No son contradictorios, sino complementarios. Contradictorios sería decir que NO haga un analisis desde el cd de rescate.
No he comentado lo del análisis en modo seguro, porque uno de los archivos afectados era explorer.exe y en modo seguro también se carga.
No se infectará el cd de rescate porque Kaspersky ya detecta el virus y el bartPE lo descargará limpio. Además, el cd de XP al ser el original está limpio.
Saludos

Leer antes lo que esta resaltado en rojo, de lo que dice: Schumaniano.

Eso significa que: KIS / KAV no logra detectar el origen verdadero del virus o amenaza. Y por esa razon siempre vuelve a aparecer.

Y Caos dijo:

P.D.: Pero el mejor consejo es tener Kaspersky instalado y actualizado, así no te entraran bichos, y no tendras que utilizar el cd de emergencias.

Esta poniendo a Kaspersky como un antivirus infallable. Y no me falla la mente, alguien dijo que ningun antivirus es 100% fiable. Y si estas recomendando que realice un disco de emergencia y teniendo el KIS /KAV instalado, eso prueba que no se aplica lo que caos a dicho.

Ya que el mismo KIS / KAV a permitido la infeccion del equipo, diciendo que ha eliminado la amenaza cuando realida no lo es, me parece que alguien del foro le paso lo mismo con una herramienta hacker para validad windows, solo abrio el rar para ver el contenido y el KIS no detuvo la infeccion, pero decia que lo habia eliminado, cuando en realidad el PC esta infectado con la herramienta oculta.

Entonces, tengas o no tengas Kaspersky, uno debe de tener siempre el deisco de emergencia.

Por tanto la infeccion sigue propagandose y no seria raro que la infeccion pasara a la carpeta temporal que ocupa el bartPE para general la ISO del disco de emergencia.

Y hace esto, tambien se ejecuta el explorer.exe en modo seguro?

Una vez en el modo seguro, vamos a Inicio / Ejecutar y escribimos msconfig.

8. Nos aparecerá una ventana donde marcaremos Inicio selectivo dejando marcada sólo la casilla Cargar servicios del sistema.

9. Aceptar y reiniciar.

¡OJO! Con esto habremos conseguido eliminar la lista de programas que se cargan al iniciar Windows. Esto significa que cuando reiniciemos muchos programas o dispositivos no nos funcionarán puesto que no se han iniciado, pero además tampoco se habrá iniciado el virus.

Y si entra en modo de MS-DOS y ejecuta el ejecutable de kaspersky.

No se si es el AVG o Avast que al no poder desinfectar un virus, le pide al usuario que reinicie la PC y el antivirus entra en modo de MS - DOS sin que entre el windows, y realiza un escaneo completo del sistema y desinfecta lo que no podia hacer en modo normal de windows.

No recuerdo por ahora, pero me parece que existe una forma de desactivar el explorer.exe antes de entrar al modo seguro. No se que teclas son, Ctrl y Shift, pero encuanto pueda busco el reporte.

Hola, estuve navegando en el registro y encontre estas claves tal ves sirvas pues no las eh probado aun:
HKEY_CLASES_ROOT\Aplicattions\Explorer\
aki existen 4 valores alfanumericos, parece que el segundo (NoOpenWith), hace que no se ejecute el explorer.exe.

Tal vez te sirva el programita "XPY"

http://xpy.whyeye.org/

pero probablemente en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell, si cambias explorer.exe por otra cosa (por ejemplo, taskmgr.exe) logres que no se ejecute el explorer.exe.

Y en modo seguro desactiva el explorer.exe?

No sé puede saber si el virus estaba ya en el sistema cuando instaló KIS o ha entrado después (o eso creo entender yo), el caso es que es detectado un malware (not-a-virus) en la acrpeta de temporales de Internet, vamos en la caché del IE, y aunque parece que elimina parte de la infección, esta se vuelve a repetir, debe estar en memoria ...

Algo parecido me pasó a mi hace muy poco pero en un sistema infectado con el NOD32 2.70.39, y este no podía eliminarlo tampoco, probé varias opciones como el el KIS SOS pero tampoco, así que al final tuve que entrar en modo seguro, averiguar manualmente donde estaba el origen de la infección y eliminar manualmente los archivos infectados. Me llevó bastante rato al final eliminar la infección, al final me llevé el virus en un pendrive y lo envié a KL Lab ...

Aconsejo revisar zona de programa de arranque y servicios del Windows con el HijackThis 2.0.2

Saludos.

Buena observacion men, yo pense que nadie se iva a fijar.
Pero aun si hubiese sido despues de la instalacion de Kaspersky, no lo hubiese podido frenar y ni desinfectar, daria el mismo problema, diciendo: kaspersky elimino o deisnfecto la amenaza tal por cual y aun se hubiese penetrado en el sistema la amenaza.

Buena recomendcion la que hiciste harlan4096:

Aconsejo revisar zona de programa de arranque y servicios del Windows con el HijackThis 2.0.2




Deshabilitar temporalmente aplicaciones y procesos de inicio

Si el problema aparece de súbito y después de haber instalado nuevo software, no hay que ser demasiado lumbreras, lo mejor es probar a deshabilitar o desinstalarlo para cerciorarnos de que ha sido el causante.

Los problemas con aplicaciones que se ejecutan durante el inicio pueden causar un inicio de sesión retardado, incluso impedir el inicio completo en modo normal.
Deshabilitar aplicaciones en el inicio mediante la tecla MAYÚS (SHIFT)

Mantener pulsada la tecla MAYÚS durante el inicio impedirá que el sistema ejecute los programas o accesos directos de las siguientes carpetas:

* Unidad del sistema\Documents and Settings\Username\Start Menu\Programs\Startup
* Unidad del sistema\Documents and Settings\All Users\Start Menu\Programs\Startup
* Directorio de Windows\Profiles\Username\Start Menu\Programs\Startup
* Directorio de Windows\Profiles\All Users\Start Menu\Programs\Startup

(Las dos últimas sólo aparecen si hemos actualizado desde Windows NT 4.0)

Simplemente mantendremos la tecla MAYÚS pulsada durante el inicio hasta aparecer el escritorio y sus iconos, afectando únicamente a la sesión del usuario actual.

Hola atod@s bueno en primer lugar quiero agregar algo al tema espero y nadie resulteofendido ya que ultimamente todo mundo esta un poco sentimental ..
bueno al grano creo que con todas sus recomendaciones simplemente estan confundiendo al usuario poes son mas de 5 recomendaciones diferentes y eso envez de ayudar simplemente enreda mas al usuario .. por ejemplo el recomendar editar el registro no es nada de juego para hacer eso se debe saber perfectamente lo que se hace otro punto el recomendar el HijackThis tampoco es nada de juego almenos que quien lo pide sea experto analizando Logs de HijackThis .. tal y como hacemos en el foro ingles lo cual solo moderadores "EXPERTOS " los solicitan bien el problema que el usuario tiene ensi es muy sensillo pero no quiero confundirlo aun mas de loq ue ya lo esta jeje bueno espero a que realize todos los pazos que ustedes le an recomendado ya depsoes si aun tiene problemas le digo que hacer y asi pueda solucionar su problema rapidamente y sin problemas ... saludos

devil_boskonovitch,

Me alegra ver que lees los comentarios de los moderadores, aunque solo sea para atacarlos.

Debes ser adivino y saber si el sistema estaba o no infectado antes de instalar Kaspersky, si el usuario lo tenia actualizado, si lo tiene bien configurado, habilitado, etc.... da gusto ver todo lo que sabes. Creo que si Kaspersky lo ha detectado, lo habria detectado también antes de que se metiera en el equipo, no?

En algo si que estoy de acuerdo, que ningún sistema es 100% seguro, pero desde que tengo Kaspersky instalado nunca me ha entrado nada, tan malo no sera, no?

Por dejar claro el tema, por mi parte es la ultima advertencia que vas a recibir, ya que parece que no estas en el foro para ayudar o para ser ayudado sino solo para atacar a los moderadores del foro, y para atacar el antivirus de Kaspersky, a favor de tu antivirus "favorito". Además de dedicarte a usar software no legal.

Espero que recapacites.

Saludos

Yo creo que simplemente se le han dado diferentes alternativas, que vaya probando con cada una de ellas y que se quede con la que mejor le vaya, no se trata de volver loco a nadie, sino de dar alternativas para solucionar el problema.

Saludos.

P.D.: yo también tengo otras soluciones en caso de que alguna de estas no le solucionen el problema ... por cierto, no pasan por usar una conocida versión portable de un antivirus de la competencia.

Totalmente de acuerdo, cada uno empleamos distintas herramientas/programas, opciones/soluciones algunas funcionaran mejor que otras pero todas pueden ser válidas o ayudarnos a resolver el problema.

Saludos

Perdonadme pero estoy hecho un lío. Ayer expuse mi problema en el foro y hoy al leerlo, no pude hacerlo antes (por eso no hay ninguna respuesta mía en el foro), me encuentro con un montón de soluciones que se me escapan. Me manejo en la informática a nivel usuario, por lo tanto esas discusiones acerca del manejo de determinados aspectos que a los entendidos os parece que no es un juego me hace dudar más acerca de qué acción a tomar. Os agradezco sinceramente vuestros consejos, estoy preocupado y fastidiado con el problema que tengo y no sabía ni de lejos cómo atajarlo y ahora tengo varios caminos a tomar por delante, y eso ya es mucho.

Pero lo que me preocupa de verdad es:

1.- Que haya ocasiones en los que no arranca mi ordenador con el kaspersky Internet Security instalado, por lo que debo reinstalar ya que el virus hará lo que quiera en esos momentos. Lo que procuro es apagar el router para que al menos no mande información al exterior.

2.- Y que espero no haya pillado datos bancarios, que alguna operación por internet he tenido que realizar.

Como me aconseja Harlan iré aplicando una por una las soluciones que me ofrecéis y que espero acaben con este maldito virus. Gracias y cuando termine de realizar estas acciones lo comunicaré en el foro. Gracias de nuevo

Buenas Schumaniano ...

Yo me inclinaría en principio y en primer lugar por usar la del disco de arranque y pasar el antivirus, pues seguramente el virus estaba en memoria cuando instalaste el KIS, y ahora como mantiene algunos de los archivos del sistema contaminados y bloqueados al programa antivirus le cuesta eliminarlo, al arrancar desde un disco de recuperación externo y pasar el KIS al sistema, en teoría, no tendría problemas en eliminar esos archivos contaminados que detecta pero que al estar en memoria se mantienen bloqueados contra modificación o eliminación.

Otra opción sería pasar el antivirus en modo seguro con el nivel de detección del módulo de archivos al máximo y con la heurística conectada y en modo Detalle.

Si esto no funcionase, entonces se ye podría intentar alguna otra solución más drástica ...

Sigue el consejo de RadarpSP y harlan4096, inicia el equipo con el cd de emergencia con las firmas actualizadas, si aun así no consigues solucionar el problema, contacta con Kaspersky a través del helpdesk explicandoles tu problema, seguramente te podrán enviar alguna herramienta para solucionarlo.

Saludos

R= 1.- Como dije anteriormente, caso similar le paso a un usuario de kaspersky y que el cual puso su experiencia con kaspersky. El usuario, solo abrio el rar (sin descomprimirlo) y la herramienta hacker hidde se instalo en el computador, en ese preciso momento el KIS salto avisando que habia eliminado la amenaza, pero el usuario para salir de la duda, escaneo todo el PC y la herramienta hacker se habia propagado en varias secciones del windows, y de nuevo el kis dijo que lo habia eliminado, el usuario reitero un nuevo escaneo y sorpresa del usuario que ahi mismo esta de nuevo la amenaza, asi que te dice la experiencia.?

R= 2.- Como tu mismo haz dicho, depende de la cultura internauta que tenga cada persona, si se meten a web site peligrosas, solo archivos peligrosos tendran en su PC, y si visitan web site buenas, nada malo tendran sus equipos. Yo no he dicho que kaspersky sea malo. Sino no lo estaria utilizando.

R= 3.- Creo que estas muy sensible hoy, pues notaras que tambien ayudo a los usuarios y en mas de una ocasion. Y creo que te molesta que corrija algunas cosas que dicen los usuarios u moderadores. Ejemplo:



Y si me van a banear por eso, es su desicion. Pero a mi me gusta las repuestas logicas (tal vez yo no sea nada logico) Pero yo veo los pro y los contra en las respuesta que leo (no importando si son de usuarios o moderadores) , si es que encuentro

Si ataco a Kaspersky, es por las fallas que tienen en algunas cosas, y no que sea santo deboto de otro antivirus.
Como dijo Nemesis: Las carateristicas y virtudes de algunos antivirus son visto de buenas maneras y uno se pregunta de porque los KIS / KAV no lo pueden hacer. Todo esto es tratar de mejorar los productos LAB KAV, tal vez y por eso ya Nemesis no participa mucho en el foro (al menos que este extensamente muy ocupado en esta navidad) , ya que parece que estamos ante un foro socialista y dictador pero tolerante. Un ejemplo: Antes los productos LAB KAV quitaban el problema del autorun.inf (si es que lo habras notado) y de aqui un tiempo atras dejaron de hacerlo? Aqui en el foro existen muchos comentarios (ataques a como tu le llamas) de mi parte y de otros usuarios, que han servido para mejorar el producto (tal vez no sea la mejor manera, a como dijo en una ocasion RadarpSP: que depende de la cultura de cada pais o personal) , pero lo mejoran siempre en versiones nuevas:

http://forum.kaspersky.com/index.php?s=&am...st&p=137653

O el bloqueo parental, ect.

Asi que lo siento si heri tus sentimeintos y el de otros.

Por esa razon me hago llamar: Devil Boskonovitch

Asi que veremos si este sera mi ultimo psot.

R-1: Podrías indicar el caso, enviar el fichero, etc... parece muy fácil hacer el comentario sin aportar los datos/pruebas. Es lo que me dice la experiencia. En caso de ser cierto lo correcto es enviarlo a Kaspersky Labs para que tomen las medidas oportunas, y no le pase a otros usuarios.

R-2: La recomendación desde luego es no meterse en sitios que no sean de confianza/conocidos, en caso de meterse tener mucho cuidado, tener el antivirus actualizado, etc....

R-3: Si fueras tu el que dedicara su tiempo libre al foro (sin percibir un salario, etc...), y yo me dedicara a atacarte, veríamos lo sensible que eres, seguramente no habrías aguantado ni la mitad de lo que hemos aguantado los moderadores.

Ejemplo: Todos los comentarios que estas haciendo, en vez de ayudar al usuario directamente, te dedicas a copiar parte de los comentarios de los moderadores, sacandolos de su contexto, con el único fin de criticar a los moderadores. No creo que ningún moderador haya dicho que su palabra va a misa, somos usuarios de Kaspersky como el resto del foro, pero no nos dedicamos a atacar al resto de usuarios con comentarios fuera de tono, sino que intentamos ayudar y llevar un orden en el foro para beneficio de los usuarios del foro, se pueden dar las opiniones/comentarios de muchas maneras, la tuya no creo que sea la correcta.

El Quote que pones deberias ponerlo completo indicando quien lo ha comentado, que es lo que según tu hay que corregir o esta mal, etc... no poner trozitos que parece ser lo que mas te gusta.

Me ha gustado los de las respuestas logicas, entonces los ataques que tu haces son lógicos, segun tu?
Usas software pirata, y te dedicas a entrar en el foro de Kaspersky a criticar a Kaspersky, a todos los que te llevan la contraria (moderadores), etc...
Para tratar de mejorar un producto primero hay que ser usuario licenciado de ese producto, luego hacer las sugerencias en el lugar correspondiente que sería el helpdesk de Kaspersky o directamente a Kaspersky, etc...

No sabia que estabamos "ante un foro socialista y dictador pero tolerante", me parece que te has equivocado de foro, aquí lo que se intenta es ayudar a los usuarios de kaspersky en la medida de nuestras posibilidades, no nos dedicamos a criticar a los demas, ni alabar otros antivirus, el software pirata, etc.... Y creo que de los foros existentes el foro español ha sido el mas permisivo.

Siempre que una sugerencia se ha realizado de la manera correcta creo que has recibido una respuesta correcta, y que la sugerencia seguramente sera tenida mucho mas encuenta, que si te dedicas a criticar simplimente.

Podríamos seguir así eternamente, ya veo que no me he equivocado, y que no vas a cambiar, tu mismo.

Espero no herir tus sentimientos.

Saludos

P.D.: Muy bueno lo de por eso me hago llamar Devil Boskonovitch, ahora me pongo el nick que quiero y me dedico a meterme con el resto, a eso creo que se le llama troll?

P.D.2: Mira si somos intolerantes que fijate la cantidad de post de ataque/critica que te hemos dejado realizar, y aun no estas baneado, vamos esto es increible, jeje, conozco foros en los que no hubieras posteado mas que un ataque/critica como tu los llamas.

A mi tambien me gusta seleccionar lo que mas me gusta, asi que a hi les va....jejejejej

No es por hecharle leña al asunto, ni para desprestigiar a los productos de lab kav, o atacar al mismo producto o moderadores. Ni por intentar hablar de productos piratas.... lo lamento pero tendre que hacerlo...:

Sucede que he instalado unas versiones desatendidas de windows, a las cuales le he dejado por defecto instalado el antivirus KIS 6 y al otro KIS 7... y al otro ya saben cual... de la competencia... sucede que las PC donde deje instalado los KIS, las PC de un tiempo atras, se han vuelto relentas... cuando eso no pasaba al inicio, alrededor de 3 meses atras.... Despues comensaron a freziarce sin cargar el windows, osea solo con encenderla se quedaban pegadas o en cargando windows o en la pantalla negra antes de aparecer cargando windows o bienvenidos a windows. Y con el tiempo dejo de arrancar el windows, a veces si y a veces no. Y la tercera PC que tiene el antivirus favorito de la competencia, esta bien....!!!! Y ambas PC fueron formatiadas he instalado el windows el mismo dia, los mismos programas... a diferencia del antivirus... y las PC son ocupadas unicamente para facturacion, estan ubicadas en la misma sala y son ocupadas por las mismas empleadas, aparte que ellas y el administrador son las unicas que manejan la clave de admin para entrar a las maquinas, los antivirus se manejan actualizados y bien configurados...!!!!

No estoy diciendo que sea el caso de Schumaniano, es solo una observacion que me tiene intrigado?

Schumaniano, te recomiendo que envies la muestra de ese virus que tienes en tu maquina a los laboratorios de kaspersky, ya que has mencionado que lo elimina... o parte de el lo hace....

Lee este post, para ver como actuar para enviar archivos:

http://forum.kaspersky.com/index.php?showtopic=23556

Y este otro para ver como actuar para desinfeccion:

http://forum.kaspersky.com/index.php?showtopic=49552

Saludos.,....!!!!

Creo que se ha comentado en mas de una ocasión las versiones "desatendidas" de windows, son versiones modificadas por alguien, el cual ha podido quitar, agregar, etc.... lo que ha querido. Como bien dices es un producto pirata, no es una versión original/normal de windows, etc....

Ademas de que para que sea una prueba real, las instalaciones se deberían hacer en el mismo equipo, con los mismos componentes, y sobre una instalación original de windows, hacer las mismas operaciones/trabajos con ellos, etc ...

Eso si seria desde mi punto de vista una comparativa real. El resto son simples especulaciones.

Saludos

Pero porque la PC con un antivirus de la competencia ( el favorito ) , no ha presentado ningun sintoma?

En una ocasion, publique una incompatibilidad del KIS 6 con un windows desatentido, en el cual todos los componetes del KIS fallaban y se ponian de color rojo.... pero sin embargo el famoso antivirus de la competencia no tenia ningun problema en instalarse y funcionar correctamente...!!! Hoy en dia he probado KIS 6, 7 y kav 6 para negocios... y ahora se instalan sin ningun problema...!!! El unico error que tiene el KIS 7 es con las memorias usb que al enllavarlas el kis ocupaba mas recurso y ponia superlenta la PC y las transferencias de archivos... pequeños o grandes...???? Pues ese error no lo tiene la version 6 de KIS, enllavo la usb no hay ningun problema...!!!

Click to view attachment

Saludos...

Muchas gracias por vuestros consejos. He intentado varios de los pasos que me proponéis pero desgraciadamente o no lo he hecho bien o no ha dado sus frutos.

1.-Desactivé los puntos de restauración reinicio en modo a prueba de fallos y escaneo con la protección al máximo y la heurística conectada en modo detalle. No dió resultado, seguía apareciendo el archivo infectado.

2.- Intenté hacer un disco de rescate pero me fue imposible porque me pedía tener instalado el programa PE Builder y al pinchar en el enlace para descargar se bloquea.

3.- Sigo los distintos pasos que me indicáis y el archivo en cuestión aparece varios sitios:
- detectado: programa espía not-a-virus:AdWare.Win32.Virtumonde.bjl URL: http://................./gg/ggdll....02698442609FF57

- eliminado: programa espía not-a-virus:AdWare.Win32.Virtumonde.cli Fichero: C:\WINDOWS\SYSTEM32\VTURS.EXE EQUIPO-BTWM9BQU\equipo localhost

- Aparece también en c:\Archivos de programa\Kasperskylab\Kaspersky Internet Security 7.0\avp.exe

4.- Tengo que reparar de nuevo KIS porque al iniciar no me aparece el icono de KIS. Reparo
5.-Me descargo el Ccleaner y borro todos los archivos que aparecen por defecto en el programa y alguno más que observo sospechosos.

6.- Ahora mismo estoy pasando de nuevo el KIS por 5ª vez. Seguiré los pasos para mandar la información al centro de ayuda de Kaspersky. Pero eso será mañana por la tarde ya que no puedo hacerlo antes.

Estos son más o menos los pasos que he ido dando. Ya informaré de los siguientes.

Muchas gracias por vuestras ayudas inestimables. Soy pianista y os daría un concierto virtual para agradecéroslos ;-)))

Al realizar en análisis a prueba de fallos te eliminaba el archivo infectado??

Mira este enlace a ver si te sirve

http://www.forospyware.com/t44341.html

suerte

Al realizar en análisis a prueba de fallos me detectaba el archivo y lo neutralizaba pero seguía apareciendo. También me aparece constantemente un mensaje de Hidden Data Sendind que cuando pincho en detalle dice:

Proceso C:\Archivos de programa\Internet Explorer\iexplore.exe (PID: 0) intenta enviar datos a través de una aplicación de confianza.

Dirección objetivo:
http://reditty.com/dot.gif/

Datos:
q5w\

Datos codificados:
ver=54&cmp=jyahoo&uid=07B06174B07011DCB781F68490DEFFFF&guid=1429D37A9460482F995808F355875018&affid=68501&nid=vm&lid=toma%20tomate&uqs=-1&s=1&c1=0&c2=0&uid_track=ca01d51c-a820-42db-854a-4f98b9a6c099

Siempre le deniego el acceso pero insiste. ¿Es del mismo problema del virtumonde?. Gracias por el enlace del virtumonde. Intentaré hacer los pasos que allí se indican.

Otra opción sería arrancar desde un Windows XP LiveCD, es decir, desde un sistema Windows XP independiente del que tienes instalado en tu disco duro y que se autoejecuta desde el CD (como muchas distribuciones Linux), y desde allí, por ejemplo intentar usar la utilidad AVP actualizada y que se puede encontrar en:

http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

De esta forma, el Windows XP de tu disco duro no mantendrá bloqueados ninguno de los posibles archivos contaminados y que se resisten a ser eliminados.

Saludos.

Hola Schumaniano bien .. espero no confundirte con tantas recomendaciones para tratar de solucionar tu problema .. pero veo que aun sigues con problemas .. 1 no sigas las recomendaciones que te an recomendado esas de ir al otro foro ya que no es recomendable porque cada infeccion es diferente estas variantes se penetran en el systema tanto que una vez infectado todo el systema no es tan facil desinfectarlos y mucho menos con simples escaneos con antivirus ya sea el mismo kaspersky o otros es decir en muchos de los casos la mejor solucion es el formateo .. pero no te alarmes .. esperemos y no sea tu caso .. ahora porfavor permiteme darte mis recomendaciones y espero no enredarte y confundirte aun mas .. simplemente confia en mi y realiza los pazos tal y como te indico y veras como tu problema se solucionara

..............................................................
:1: Apaga el "Restaurar Sistema"

:2: Descargue estos tres programas, (pero no las ejecutes aun).

* SUPERAntiSpyware + Manual
* DelPSGuard + Manual
* VundoFix.exe

:3: Descargar HijackThis pero sin ejecutarlo esto lo aras al final de todo

4- Instalar, actualizar los programas mensionados
* SuperAntiSpyware
* DelPSGuard
* VundoFix.exe

depoes Reiniciar el pc en modo seguro aprueba de fallos .. ya en modo seguro ejecutar estos programas (de uno en uno).
.................................................

una vez realizado lo mensionado arriba ejecutar HijackThis y - Aplicarle :Fix Chechecked: a las entradas de HijackThis que reconozca como parte del Malware.Vundo (Recuerde que puedes publicar tu log aqui en el foro para que te pueda guiar en esto)
.............................................
al terminar todos los pazos mensionados Usar el CCleaner para limpiar cookies y temporales.


por ultimo realiza un escaneo del pc completo con kaspersky al finalizar .. Reinicia en modo normal y comprueba los resultados. Saludos

Estoy de acuerdo de que cada infección es diferente, algo parecido me pasó a mí hace unas semanas en un sistema con NOD32 instalado y no había manera, el problema es que una vez que el sistema está comprometido (en este caso de Schumaniano tiene toda la pinta de que el sistema ya lo estaba antes de instalar el KIS) le es bastante complicado erradicar la infección.


En cuanto al Paso 1º, ya se le había recomendado.

En cuanto al 2º, si el sistema está comprometido, no sé si al final eso le valdrá, la prueba es que ni le funciona la generación del CD de recuperación, se queda colgada. Tampoco estoy seguro que puedan con el problema el Syperantispyware y el DelPSGuard (pues quizás no sea la variante que este elimina), pero que pruebe a ver cómo le va.

El 3º también se le había recomendado.

Por cierto, en este foro en inglés tenemos un caso parecido con la misma variante de malware:

http://forums.majorgeeks.com/showthread.php?t=145963

y parece que el VundoFix no le fue bien tampoco.

En mi caso al final eliminé la infección mediante un Windows LiveCD, porque es la única forma de que los archivos contaminados no estén ni bloqueados ni ocultos por el sistema comprometido.

Saludos.

Harlan, ¿qué es el Windows LiveCD?
Gracias

Ok, manos a la obra!!

Es un Windows XP que puedes arrancar desde un CD y que no hace falta instalarlo en tu disco duro, sino que se carga en memoria mientras lo estas usando y no afecta a tu Windows del sistema, hay muchas distribuciones que puedes encontrar en eMule personalizadas, en las cuales dependiendo de la personalización del que haya creado el LiveCD, puedes encontrar muchas herramientas, entre ellas antivirus, programas de administración, etc ...

Te permite acceder a tu disco duro y como en mi caso, me permitió eliminar por fin los archivos contaminados del sistema sin problemas, que el sistema contaminado (el del disco duro) mantenía ocultos y bloqueados los archivos contaminados y ni siquiera en Modo Seguro pude eliminarlos.

Hay Muchos Windows LiveCD por ahí rulando ... si quieres me envías un mensaje personal y te digo algún enlace de eMule y donde conseguir uno, a veces, para situaciones límite, no hay otra solución ...

Saludos.

Tambien existen varios Live CD que puedes descargar desde servidores libres o descargas directas.

El mejor de estos live CD se llama: FeniXP Live Pro SP2 Bueno es el que mejor construido esta, pero segun mi humilde opinion, aparte que no tiene virus o cosas similares

Creo que distribuir este tipo de software es considerado pirateo. Si te interesa podes enviarme un Mensaje privado MP y te envio el links de donde lo podes bajar sin necesidad de utilizar algun P2P.

Si no me equivoco, ya en este foro han puesto un links de una pagina de donde poder encontrarlo, seria utilizar el buscador del foro y lo encontraran.

Perdonad el retraso en contestar pero son unas fechas complicadas para ¡desaparecer unas horitas con el ordenador!
He dado todos los pasos que me indicó Aroon y creo que ¡ha habido suerte! De momento ya no hay mensajes de virus. Descargé los tres programas y los corrí por el ordenador. Al final pasé el kIS y no me detectó nada, por lo tanto creo que ha desaparecido el problema. El log del HijackThis es:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1:15:11, on 06/01/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {26c23b43-4fba-4a94-ad30-56436baf9636} - C:\WINDOWS\System32\qbscshod.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: {87c2f6ad-c3ca-d488-5e44-40078b587c0b} - {b0c785b8-7004-44e5-884d-ac3cda6f2c78} - C:\WINDOWS\System32\hcmibcyv.dll
O2 - BHO: Google Module - {B87D203B-B43D-4af9-9E1B-9C20478CBB74} - TARDM2.DLL (file missing)
O2 - BHO: (no name) - {BA6360FB-05A7-46F9-82CE-69531E1E5879} - C:\WINDOWS\shwol.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [7c74543d] rundll32.exe "C:\WINDOWS\System32\tjgvrjkp.dll",b
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: HP Display LiteSaver Startup.lnk = C:\WINDOWS\HPLiteSaver.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Archivos de programa\VIA\RAID\raid_tool.exe
O9 - Extra button: Estadísticas del componente Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1131792084322
O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: ddcdded - C:\WINDOWS\
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

--
End of file - 4079 bytes

Sólo me apareció en uno de los reinicios este mensaje:

RUNDLL

Error al descargar c:\windows\System32\tjgvrjkp.dll
No se puede encontrar el módulo especificado

Espero que no sea nada, lo que pasa es que siempre me aparece al iniciar el oredenador. ¿Cómo puedo eliminar el mensaje? También como tenía bloqueados todos los intentos del iexplorer de Hidden Data Sending, me bloqueó la salida del programa SuperAntiSpyware a internet. ¿Debo borrar todos los programas que instalé o los dejo por seguridad? Creo que los puedo ejecutar semanalmente para mejorar la seguridad.

Gracias a Harlan y a Devil por vuestro ofrecimiento del Live CD al final no ha sido necesario.

Muchas gracias a todos por vuestra ayuda, espero no tener que daros la paliza de nuevo, y ¡¡FELIZ 2008 a todos!!

P.D. He visto por ahí que hay una oferta de tres licencias por el precio de una en dolares, ¿es posible conseguirla para la zona euro? Acabo de comprar una licancia para un ordenador y me gustaría amliarla a otro ordenadore más que tengo.

Saludos

Hola en el HijackThis localiza las siguientes entradas marcalas y dale a Fix Checked



O2 - BHO: Google Module - {B87D203B-B43D-4af9-9E1B-9C20478CBB74} - TARDM2.DLL (file missing)
O2 - BHO: (no name) - {BA6360FB-05A7-46F9-82CE-69531E1E5879} - C:\WINDOWS\shwol.dll (file missing)

..............................
despoes descarga y ejecuta la herramienta CWSHREDDER

....................
los programas que instalaste si los puedes eliminar si gustas puedes dejar el SUPERAntispyware ylo utilisas para escaneos periodicos

saludos :-)

He pasado de nuevo el Hijackthis y no he podido encontrar los dos archivos esos para borrarlos. Sólo encontré el que finaliza con "shwol.dll (file missing)". Hay otras lineas en las que aparece "file missing". ¿Los elimino también? Si lo crees necesario te pongo de nuevo el log que me generó.
He descargado, o intentado descargar, el programa que me dices pero como la página está en inglés y el mio es horroroso (soy nulo para el inglés) no sé si lo que me he bajado es el programa o no. Al descargarlo me aparece una carpeta llamada "delcwssk" y dentro una aplicación de nombre "miniremoval_coolwebsearch_smartkiller" que al ejecutarlo (pinchar dos veces) me dice : CoolWWWSearch Smartkiller (v1/v2) has not been found into your system, o lo que es lo mismo, que ese archivo no está en mi sistema, ¿Algo hice mal, verdad?


En cuanto al log del vundofix, no lo he encontrado, no sé exactamente lo que pasó, tal vez no lo guardé. El caso es que he vuelto a pasarlo y no me detecta nada ya, como es lógico.

Perdonad mi torpeza
Saludos

Intenta con este enlace más directo: http://www.trendmicro.com/ftp/products/onl.../cwshredder.exe

Lo pasé pero no encontró nada. Este es el informe:

**** Run Keys ****

RUN: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
RUN: [7c74543d] rundll32.exe "C:\WINDOWS\System32\tjgvrjkp.dll",b
RUN: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
RUN: []
RUN: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe


**** Browser Helper Objects ****

BHO: [AcroIEHlprObj Class] C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
BHO: [AcroIEHlprObj Class] C:\WINDOWS\System32\qbscshod.dll
BHO: [Google Toolbar Helper] c:\archivos de programa\google\googletoolbar3.dll
BHO: [AcroIEToolbarHelper Class] C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
BHO: [Google Toolbar Notifier BHO] C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
BHO: [Google Toolbar Notifier BHO] C:\WINDOWS\System32\hcmibcyv.dll


**** IE Toolbars ****

TOOLBAR: [Adobe PDF] C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
TOOLBAR: [&Google] c:\archivos de programa\google\googletoolbar3.dll
TOOLBAR: [&Radio] C:\WINDOWS\System32\msdxm.ocx


**** IE Extensions ****

IEExt: [Estadísticas del componente Web Anti-Virus]
IEExt: [@shdoclc.dll,-866]


**** Hosts File Entries ****

HOSTS: 127.0.0.1 localhost
HOSTS: 127.0.0.1 localhost


**** IE Settings ****

Default Page: http://www.microsoft.com/isapi/redir.dll?p...&ar=msnhome
Default Search: http://www.microsoft.com/isapi/redir.dll?p...amp;ar=iesearch
Local Page: C:\WINDOWS\System32\blank.htm
Search Bar: http://www.google.com/ie
Search Page: http://www.google.com


**** IE Context Menu (Right click) ****

IEContext: [Agregar al componente Anti-Banners] C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm


**** Layered Service Providers ****

LSP: MSAFD Tcpip [TCP/IP]
LSP: MSAFD Tcpip [UDP/IP]
LSP: RSVP UDP Service Provider
LSP: RSVP TCP Service Provider
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{4F91D8CD-3FDD-439C-AA25-794CEE5FD166}] SEQPACKET 4
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{4F91D8CD-3FDD-439C-AA25-794CEE5FD166}] DATAGRAM 4
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{42788C24-1E27-4289-A9BA-0E99089392ED}] SEQPACKET 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{42788C24-1E27-4289-A9BA-0E99089392ED}] DATAGRAM 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E49872FC-53BC-47FA-A966-215111326C69}] SEQPACKET 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E49872FC-53BC-47FA-A966-215111326C69}] DATAGRAM 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{20F81525-0047-4103-A18D-CDCE3DE969B9}] SEQPACKET 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{20F81525-0047-4103-A18D-CDCE3DE969B9}] DATAGRAM 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{A0AE51EF-96CF-4BF0-B9B3-CAB1C4D27838}] SEQPACKET 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{A0AE51EF-96CF-4BF0-B9B3-CAB1C4D27838}] DATAGRAM 2


**** Blocked Control Panel Items ****

BLOCKED: [ncpa.cpl] No
BLOCKED: [odbccp32.cpl] No


**** Downloaded Program Files ****

DirectAnimation Java Classes [file://C:\WINDOWS\Java\classes\dajava.cab]
Microsoft XML Parser for Java [file://C:\WINDOWS\Java\classes\xmldso.cab]
{02BCC737-B171-4746-94C9-0D8A0B2C0089} [http://office.microsoft.com/templates/ieawsdc.cab] C:\WINDOWS\Downloaded Program Files\IEAWSDC.DLL
{0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} [http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab]
{166B1BCA-3F9C-11CF-8075-444553540000} [http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab]
{17492023-C23A-453E-A040-C7C580BBF700} [http://go.microsoft.com/fwlink/?linkid=39204]
{6414512B-B978-451D-A0D8-FCFDF33E833C} [http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131792084322]
{D27CDB6E-AE6D-11CF-96B8-444553540000} [http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab]


**** Windows Services ****

[Alerter] %SystemRoot%\System32\svchost.exe -k LocalService
[ALG] %SystemRoot%\System32\alg.exe
[AppMgmt] %SystemRoot%\system32\svchost.exe -k netsvcs
[aspnet_state] %SystemRoot%\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe
[Ati HotKey Poller] %SystemRoot%\System32\Ati2evxx.exe
[ATI Smart] C:\WINDOWS\system32\ati2sgag.exe
[AudioSrv] %SystemRoot%\System32\svchost.exe -k netsvcs
[BITS] %SystemRoot%\System32\svchost.exe -k netsvcs
[Browser] %SystemRoot%\System32\svchost.exe -k netsvcs
[cisvc] %SystemRoot%\system32\cisvc.exe
[ClipSrv] %SystemRoot%\system32\clipsrv.exe
[COMSysApp] C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
[CryptSvc] %SystemRoot%\system32\svchost.exe -k netsvcs
[Dhcp] %SystemRoot%\System32\svchost.exe -k netsvcs
[dmadmin] %SystemRoot%\System32\dmadmin.exe /com
[dmserver] %SystemRoot%\System32\svchost.exe -k netsvcs
[Dnscache] %SystemRoot%\System32\svchost.exe -k NetworkService
[ERSvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[Eventlog] %SystemRoot%\system32\services.exe
[EventSystem] C:\WINDOWS\System32\svchost.exe -k netsvcs
[FastUserSwitchingCompatibility] %SystemRoot%\System32\svchost.exe -k netsvcs
[gusvc] "C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe"
[helpsvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[HidServ] %SystemRoot%\System32\svchost.exe -k netsvcs
[ImapiService] C:\WINDOWS\System32\imapi.exe
[iPod Service] "C:\Archivos de programa\iPod\bin\iPodService.exe"
[lanmanserver] %SystemRoot%\System32\svchost.exe -k netsvcs
[lanmanworkstation] %SystemRoot%\System32\svchost.exe -k netsvcs
[LmHosts] %SystemRoot%\System32\svchost.exe -k LocalService
[Messenger] %SystemRoot%\System32\svchost.exe -k netsvcs
[mnmsrvc] C:\WINDOWS\System32\mnmsrvc.exe
[MSDTC] C:\WINDOWS\System32\msdtc.exe
[MSIServer] C:\WINDOWS\System32\msiexec.exe /V
[NetDDE] %SystemRoot%\system32\netdde.exe
[NetDDEdsdm] %SystemRoot%\system32\netdde.exe
[Netlogon] %SystemRoot%\System32\lsass.exe
[Netman] %SystemRoot%\System32\svchost.exe -k netsvcs
[Nla] %SystemRoot%\System32\svchost.exe -k netsvcs
[NtLmSsp] %SystemRoot%\System32\lsass.exe
[NtmsSvc] %SystemRoot%\system32\svchost.exe -k netsvcs
[PlugPlay] %SystemRoot%\system32\services.exe
[PolicyAgent] %SystemRoot%\System32\lsass.exe
[ProtectedStorage] %SystemRoot%\system32\lsass.exe
[RasAuto] %SystemRoot%\System32\svchost.exe -k netsvcs
[RasMan] %SystemRoot%\System32\svchost.exe -k netsvcs
[RDSessMgr] C:\WINDOWS\system32\sessmgr.exe
[RemoteAccess] %SystemRoot%\System32\svchost.exe -k netsvcs
[RemoteRegistry] %SystemRoot%\system32\svchost.exe -k LocalService
[RpcLocator] %SystemRoot%\System32\locator.exe
[RpcSs] %SystemRoot%\system32\svchost -k rpcss
[RSVP] %SystemRoot%\System32\rsvp.exe
[SamSs] %SystemRoot%\system32\lsass.exe
[SCardDrv] %SystemRoot%\System32\SCardSvr.exe
[SCardSvr] %SystemRoot%\System32\SCardSvr.exe
[Schedule] %SystemRoot%\System32\svchost.exe -k netsvcs
[seclogon] %SystemRoot%\System32\svchost.exe -k netsvcs
[SENS] %SystemRoot%\system32\svchost.exe -k netsvcs
[SharedAccess] %SystemRoot%\System32\svchost.exe -k netsvcs
[ShellHWDetection] %SystemRoot%\System32\svchost.exe -k netsvcs
[Spooler] %SystemRoot%\system32\spoolsv.exe
[srservice] %SystemRoot%\System32\svchost.exe -k netsvcs
[SSDPSRV] %SystemRoot%\System32\svchost.exe -k LocalService
[stisvc] %SystemRoot%\System32\svchost.exe -k imgsvc
[SwPrv] C:\WINDOWS\System32\dllhost.exe /Processid:{E44D888E-BF07-4D7E-9E16-D9BCE43AB684}
[SysmonLog] %SystemRoot%\system32\smlogsvc.exe
[TapiSrv] %SystemRoot%\System32\svchost.exe -k netsvcs
[TermService] %SystemRoot%\System32\svchost.exe -k netsvcs
[Themes] %SystemRoot%\System32\svchost.exe -k netsvcs
[TlntSvr] C:\WINDOWS\System32\tlntsvr.exe
[TrkWks] %SystemRoot%\system32\svchost.exe -k netsvcs
[UMWdf] C:\WINDOWS\System32\wdfmgr.exe
[uploadmgr] %SystemRoot%\System32\svchost.exe -k netsvcs
[upnphost] %SystemRoot%\System32\svchost.exe -k LocalService
[UPS] %SystemRoot%\System32\ups.exe
[VSS] %SystemRoot%\System32\vssvc.exe
[W32Time] %SystemRoot%\System32\svchost.exe -k netsvcs
[WebClient] %SystemRoot%\System32\svchost.exe -k LocalService
[winmgmt] %systemroot%\system32\svchost.exe -k netsvcs
[WmdmPmSN] %SystemRoot%\System32\svchost.exe -k netsvcs
[Wmi] %SystemRoot%\System32\svchost.exe -k netsvcs
[WmiApSrv] C:\WINDOWS\System32\wbem\wmiapsrv.exe
[wuauserv] %systemroot%\system32\svchost.exe -k netsvcs
[WZCSVC] %SystemRoot%\System32\svchost.exe -k netsvcs


**** Custom IE Search Items ****

SEARCH: [SearchAssistant] http://www.google.com/ie
SEARCH: [Default_Search_URL] http://www.google.com/ie
SEARCH: [SearchAssistant] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
SEARCH: [CustomizeSearch] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
SEARCH: [Default_Search_URL] http://www.microsoft.com/isapi/redir.dll?p...amp;ar=iesearch


**** Complete IE Options ****

IEOPT: [NoUpdateCheck]
IEOPT: [NoJITSetup]
IEOPT: [Disable Script Debugger] yes
IEOPT: [Show_ChannelBand] No
IEOPT: [Anchor Underline] yes
IEOPT: [Cache_Update_Frequency] Once_Per_Session
IEOPT: [Display Inline Images] yes
IEOPT: [Do404Search]
IEOPT: [Local Page] C:\WINDOWS\System32\blank.htm
IEOPT: [Save_Session_History_On_Exit] no
IEOPT: [Show_FullURL] no
IEOPT: [Show_StatusBar] yes
IEOPT: [Show_ToolBar] yes
IEOPT: [Show_URLinStatusBar] yes
IEOPT: [Show_URLToolBar] yes
IEOPT: [Start Page] http://www.juntadeandalucia.es/educacion/n...lista_canales=6
IEOPT: [Use_DlgBox_Colors] yes
IEOPT: [Search Page] http://www.google.com
IEOPT: [Check_Associations] yes
IEOPT: [FullScreen] no
IEOPT: [Window_Placement] ,
IEOPT: [NotifyDownloadComplete] no
IEOPT: [FavChevron_Complete] 3
IEOPT: [FavChevron_Failed] 8
IEOPT: [FavChevron_Error] 30
IEOPT: [Error Dlg Displayed On Every Error] no
IEOPT: [Error Dlg Details Pane Open] yes
IEOPT: [Use FormSuggest] yes
IEOPT: [AddToFavoritesExpanded]
IEOPT: [Use Search Asst] no
IEOPT: [Search Bar] http://www.google.com/ie
IEOPT: [Enable Browser Extensions] yes
IEOPT: [Default_Search_URL] http://www.google.com/ie
IEOPT: [FormSuggest PW Ask] no
IEOPT: [FormSuggest Passwords] yes
IEOPT: [Default_Page_URL] http://www.microsoft.com/isapi/redir.dll?p...&ar=msnhome
IEOPT: [Default_Search_URL] http://www.microsoft.com/isapi/redir.dll?p...amp;ar=iesearch
IEOPT: [Search Page] http://www.microsoft.com/isapi/redir.dll?p...amp;ar=iesearch
IEOPT: [Enable_Disk_Cache] yes
IEOPT: [Cache_Percent_of_Disk]
IEOPT: [Delete_Temp_Files_On_Exit] yes
IEOPT: [Local Page] C:\windows\system32\blank.htm
IEOPT: [Anchor_Visitation_Horizon]
IEOPT: [Use_Async_DNS] yes
IEOPT: [Placeholder_Width]
IEOPT: [Placeholder_Height]
IEOPT: [Start Page] http://www.microsoft.com/isapi/redir.dll?p...ER}&ar=home
IEOPT: [CompanyName] Microsoft Corporation
IEOPT: [Custom_Key] MICROSO
IEOPT: [Wizard_Version] 6.0.2600.0000
IEOPT: [FullScreen] no


Salu2

Si aún tienes algún mensaje en el arranque del sistema preguntando por alguna dll o algún exe que no encuentra es normal, seguramente es que aún Windows tiene en el registro alguna línea de algunos de los ficheros infectados y como ya no están, pues da el error.

Debes buscar esa línea en el registro quizás y eliminarla, yo la buscaría quizás con el regedit.exe de Windows.

Saludos.

Por mi parte, yo recomendaria:

Instalar el siguiente programa:

http://www.tune-up.com/products/tuneup-utilities/

Y pasarle el limpiador o desfragmentador de registro, mantenimiento en un clic, buscar fallos en windows etc.

Para ejecutar el limpiador de registro no tiene que estar ejecutandose ninguna aplicacion en la barra de tarea, asi como los antivirus, etc.

Si tienes el Disco Original de Windos, Radarsp dio una opcion que de memoria no me acuerdo, pero se ejecuta metiendo el disco instalador de windows en la unidad Cd rom, haces clic en Inicio << ejecutar << y escribis un comando.

Creo que SCANNOW o algo asi, pero mejor esperas a que RadarSP te diga como es.

Mientras tanto puedes hacer esto:

Metes el disco de windows en la unidad CD ROM << Reinicias << haces como si vas a instalar windows, pero no instalas nada ni formateas nada y mucho menos borrar las particiones << activas la consola de recuperacion de windows << cuando te pregunte en que unidad quiere hacer la recuperacion << le das 1 <<< si te pide contraseña de admin, se la pones si es que le has puesto, de lo contrario solo le das ENTER <<< luego escribis el comando de msdos: CHKDSK /R <<< Y esperas un largo tiempo a que examine la PC y repare los archivos de tu maquina.

Aqui te pongo una captura de pantalla de lo sub comando que se pueden hacer con el comando CHKDSK:

Click to view attachment

Pero aun es mas facil el comando de RadarSP.

El comando es sfc /scannow en inicio ejecutar.
System
File
Checker

Saludos

Ahora mismo le paso el comando Scannow. Cuando acabe os cuento

Gracias a ambos

Pues terminó y la pantalla de progreso del análisis se cerró sin decir ¡¡nada de nada!! como si nada hubiera estado haciendo. Supongo que no encontro nada anormal.

Perfecto, lo eliminé con el regedit.

Doy por solucionado el problema. Muchas gracias por vuestra ayuda.