miren este tema, raro no? troyano INVENSIBLE!

porfavor nose q ****** se me metio al pc, lo q pasa esq las ventanas de internet se me cierran solas, ventanas de msn, y el administrador de tareas, y siempre me aparecen mensajes como: HEY MIRA ve el video bush:P. nose q pasa, e revisado todo!! con el avg anti troyanos y no me encontro nada, tambien con el nod32 no me ecnontro nada y siempre lo tengio actulizado, revise tambien con el adware se profesional y nada tampoco TAMBIEN REVISE CON EL SUPERANTYSPYWARE Y NADA. ME DIJERON Q ESCANEARA CN EL MSNCELANER Y ME ENCONTRO EL ARCHIVO SVCHOST.EXE INFECTADO, LO INTENTE ELIMINAR CON EL PROGRAMA FILEASSASSIN Y ES IMPOSIBLE ELIMIANRLO, ACA ESTA EL LOG DEL HIJACKTHIS: Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:37:09, on 17/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\ARCHIV~1\SPEEDB~1\VideoAcceleratorEngine.exe
C:\ARCHIV~1\SPEEDB~1\VideoAccelerator.exe
C:\Archivos de programa\Thomson\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\nod32.exe
C:\WINDOWS\Zos.exe
C:\WINDOWS\plick.exe
C:\WINDOWS\Jret.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\msiexec.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Archivos de programa\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKCU\..\Run: [Antivir] C:\WINDOWS\nod32.exe
O4 - HKCU\..\Run: [Serty] C:\WINDOWS\Zos.exe
O4 - HKCU\..\Run: [Ranvc] C:\WINDOWS\plick.exe
O4 - HKCU\..\Run: [WindowsUpdate] C:\WINDOWS\svchost.exe
O4 - HKCU\..\Run: [Windows] C:\WINDOWS\Jret.exe
O4 - HKCU\..\Run: [SystemUpdate] C:\WINDOWS\system32\Tick.exe
O4 - HKCU\..\Run: [System] C:\WINDOWS\system32\Fretr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: Jugar MU LucifeR.lnk = C:\Archivos de programa\LucibeR Corporation\Mu-LucifeR\LucibeR.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O8 - Extra context menu item: &Clean Traces - C:\Archivos de programa\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm
O8 - Extra context menu item: Add to AMV Converter... - C:\Archivos de programa\MP3 Player Utilities 4.14\AMVConverter\grab.html
O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Archivos de programa\MP3 Player Utilities 4.14\MediaManager\grab.html
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_un icode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C211B0B8-D6D1-4454-8970-2F1DDDBF7AAA}: NameServer = 200.28.4.129 200.28.4.130
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: VideoAcceleratorEngine - Speedbit Ltd. - C:\ARCHIV~1\SPEEDB~1\VideoAcceleratorEngine.exe

--
End of file - 5437 bytes

Y ACA EL DEL KASPERSKY:

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
sábado, 18 de agosto de 2007 5:03:16
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.0
Ultima actualización: 18/08/2007
Registros en la base antivirus: 360988
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: standard
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
C:\
D:\

Estadísticas:
Número de objeros analizados: 48857
Virus encontrados: 1
Objetos infectados: 1 / 0
Objetos sospechosos: 0
Duración del análisis: 01:29:20

Bombre del objeto infectado / Nombre del virus / Última acción
C:\Archivos de programa\Eset\cache\CACHE.NDB Object is locked saltado
C:\Archivos de programa\Eset\logs\virlog.dat Object is locked saltado
C:\Archivos de programa\Eset\logs\warnlog.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\36yfefqo.default \Cache\C7129BCBd01 Infectados: IM-Worm.Win32.VB.au saltado
C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\MSHist0120070818200708 19\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\Administrador\NTUSER.DAT.LOG Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT.LOG Object is locked saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado
C:\WINDOWS\system32\h323log.txt Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\Temp\~DF37FF.tmp Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado

Análisis completado.



PROFAVOR HELP

Depronto No Es Que Sea Tannn Invisible En La Consola Digita Msconfig Despues En La PestaÑa De Inicio Busquese Nombres Raros De Programas Que Se Esten Ejecutando En El Pc Y Quiteles La Seleccion Puede Que El Virus Se Ejecute Al Encender El Pc A La Vez Mira La Ruta En Que Se Encuentra Y Por El Modo Seguro Elimina El Archivo A Mi Me Funciono Una Vez Con Algo Parecido

Hola, tu log muestra infecciones, sigue estos pasos:

1.- Apaga el "Restaurar Sistema"

2.- Activa la opción Ver Archivos Ocultos

3.- Reinicia en Modo Seguro

4.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

O4 - HKCU\..\Run: [Serty] C:\WINDOWS\Zos.exe

O4 - HKCU\..\Run: [Ranvc] C:\WINDOWS\plick.exe

O4 - HKCU\..\Run: [WindowsUpdate] C:\WINDOWS\svchost.exe

O4 - HKCU\..\Run: [Windows] C:\WINDOWS\Jret.exe

O4 - HKCU\..\Run: [System] C:\WINDOWS\system32\Fretr.exe

5.- Sin reiniciar, busca y elimina estos archivos, si aún los encuentras. Si no se dejan eliminar descarga el programa FileASSASIN y sigue las indicaciones del mensaje, para eliminar estos archivos:

O4 - HKCU\..\Run: [Serty] C:\WINDOWS\Zos.exe

C:\WINDOWS\plick.exe

C:\WINDOWS\svchost.exe<-- CUIDADO con eliminar el que se encuentra dentro de la carpeta system32

C:\WINDOWS\Jret.exe

C:\WINDOWS\system32\Fretr.exe

6.- Pasa el Ccleaner y siguiendo los pasos de su manual utiliza las opciones Limpiador y Registro.

7.- Descarga el Super Antispyware y realiza un escaneo con el, luego instala SpywareBlaster

8.- Reinicia la máquina y realiza un escaneo con Ewido Online, luego pega otro log de Hijackthis y nos cuentas como te fue.

9.- Deshaz los pasos 1 y 2.

De preferencia imprime las indicaciones para que se te haga mas fácil seguirlas.

Saludos

mm, como se reinicia en modo seguro? me an dichoq es con el f8 pero me sale otra cosa grax

A veces es con F8 y a veces con Supr.

Hola, si te das cuenta, cada punto de explicación tiene enlaces donde se te indica con detalles como realizar cada paso.

Probablemente estés presionando muy rápido la tecla F8 y te aparezca un menú de Booteo, donde eliges con que dispositivo arrancar el sistema. De ser así demórate un poco mas al presionar F8, si aún así no puedes iniciar en Modo Seguro obvia ese paso y sigue con los demás.

Saludos