Tema: Trojan.PSW.Turgen...ayuda!!!!

Hola bueno al parecer tengo infectada mi maquina con un troyano. Pero no puedo desinfectarla se me esta haciendo trabajoso y molesto ya q cada nada me paparece un aviso de q mi compu tiene virus.
Tengo el antivirus PER, el SPYware doctor y el Ad-ware he pasado los 3 y ninguno me resuelve el problema.

El aviso dice lo siguiente:

Malicious Action Blocked
Spycare Doctor has blocked an application wscrmtfy.exe attempting to access a file.
Ruta: C:\WINDOWS\system32\crss.exe
Amenaza:Trojan.PSW.Turgen
Nivel Riesgo: alto

Alguien q porfa me pueda ayudar? estoy al punto de la desesperacion, aqui dejo el log.Espero una respuesta pronta y efectiva, gracias.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 10:22:36 p.m., on 01/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wscrntfy.exe
C:\Archivos de programa\Spyware Doctor\svcntaux.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe
C:\Archivos de programa\Lexmark X1100 Series\lxbkbmon.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\VM305_STI.EXE
C:\ARCHIV~1\PERSYS~1\Perav\PAV.EXE
C:\Archivos de programa\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\WINDOWS\System32\alg.exe
C:\ARCHIV~1\PERSYS~1\Perav\pertsk.exe
C:\Archivos de programa\Persystems\Perav\PAVSS.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Documents and Settings\Mely\Escritorio\Hijackthis\Hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatche ... p=aus&qkw=%s&tbid=61006
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.latam.msn.com/0SEESXL/SAOS01?FORM=TOOLBR
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=61006
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_custo ... TbId=61006
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=61006
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_custo ... TbId=61006
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.latam.msn.com/0SEESXL/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\wscrntfy.exe -runservice
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Systran40premi.IEPlugIn - {CFB25594-4D5F-11D6-AB7B-00B0D094B576} - C:\Archivos de programa\Systran\4_0\Premium\IEPlugIn.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [BigDog305] C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)
O4 - HKLM\..\Run: [PAV.EXE] C:\ARCHIV~1\PERSYS~1\Perav\PAV.EXE
O4 - HKLM\..\Run: [unsrvc] C:\WINDOWS\system32\wscrntfy.exe -runservice
O4 - HKLM\..\Run: [Uninstall_CToolbar] "C:\WINDOWS\Temp\CTun.exe" "/remove"
O4 - HKLM\..\Run: [SDTray] C:\Archivos de programa\Spyware Doctor\SDTrayApp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Actualización de PER Antivirus.lnk = C:\Archivos de programa\Persystems\Perav\PERUPD.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-xl\msntabres.dll.mui/229?05b5760e094a46ca9f5a543b1ba52d00
O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-xl\msntabres.dll.mui/230?05b5760e094a46ca9f5a543b1ba52d00
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: PER Antivirus Security Service (pav_security) - PER SYSTEMS S.A. - C:\Archivos de programa\Persystems\Perav\PAVSS.EXE
O23 - Service: PER Antivirus (pav_service) - Unknown owner - C:\Archivos de programa\Persystems\Perav\PERVACNT.EXE
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - Unknown owner - C:\Archivos de programa\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\swdsvc.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe[/b]

Reinicia en modo a prueba de fallos localiza y borra el siguiente fichero

C:\WINDOWS\system32\crss.exe


Se hace pasar por el fichero legítimo y original de windows que tiene el siguiente nombre:

Código:

C:\WINDOWS\system32\csrss.exe

Hola AngelCaidox, al parecer tengo el mismo problema que melyrodr27, intenté borrar el archivo como indicaste pero no me deja (probé con usuario con derechos de administrador y tampoco).

Mi notebook es una compaq presario C552US con vista home basic.

Cuando enciendo la máquina, tras poner la contraseña de mi usuario (el único de la notebook) aparece la pantalla negra pero al iniciar el task manager me deja iniciar una a una las aplicaciones, lo cual es fastidioso (además que quien sabe todo lo que tenga que iniciar 'manualmente').

Ya le pasé el scan de Nod32 y ha eliminado algunas cosas pero cuando probé buscar el archivo C:\WINDOWS\system32\crss.exe está ahí, pero no puedo borrarlo. Y justo ahora tengo sólo el mozilla, el nod32, el thunderbird abierto y aparece que estoy usando más del 80% de la memoria.

Otra vez gracias por adelantado y disculpa la 'ignorancia' es la primera vez que escribo en un foro...

Iniciado por abathory

Hola AngelCaidox, al parecer tengo el mismo problema que melyrodr27, intenté borrar el archivo como indicaste pero no me deja (probé con usuario con derechos de administrador y tampoco).

Mi notebook es una compaq presario C552US con vista home basic.

Cuando enciendo la máquina, tras poner la contraseña de mi usuario (el único de la notebook) aparece la pantalla negra pero al iniciar el task manager me deja iniciar una a una las aplicaciones, lo cual es fastidioso (además que quien sabe todo lo que tenga que iniciar 'manualmente').

Ya le pasé el scan de Nod32 y ha eliminado algunas cosas pero cuando probé buscar el archivo C:\WINDOWS\system32\crss.exe está ahí, pero no puedo borrarlo. Y justo ahora tengo sólo el mozilla, el nod32, el thunderbird abierto y aparece que estoy usando más del 80% de la memoria.

Otra vez gracias por adelantado y disculpa la 'ignorancia' es la primera vez que escribo en un foro...

Bueno te dije que abriera un nuevo hilo para no mezclar los hilos no pasa nada haremos una excepción que estamos en navidad.
Bueno lo que tienes que hacer es reiniciar en modo a prueba de fallos y borrarlo, si ves que aún tienes problemas usa este programa para borrar el fichero

http://pocket-killbox.uptodown.com/


Te indico igual que al otro compañero, ojo de no borrar el fichero legítimo de windows que lleva de nombre:

csrss.exe

vale gracias :wink:, utilicé la herramienta para borrar el archivo, pero sigo con el problema que reinicio la compu y la pantalla aparece en negro y desde el task manager estoy abriendo el nod32 y el explorer

vamos hacer una cosa, abre un nuevo hilo y me pegas el log que este programa te genera y limpio este hilo, así me pongo de lleno contigo también, sin molestar este hilo.

http://www.merijn.org/files/HiJackThis_v2.exe

hola, ya borre el archivo ese con el Killbox. Pero me sigue apareciendo el aviso molesto, busco el archivo y sigue como si no lo hubiese borrado. Es bastante raro ya q hice exactamente lo q me dijiste, lo borre en modo a prueba de fallos pero nada.
Nose, crees q tenga q formatear el compu? dime q existe una solucion please jeje.
Un saludo.

Iniciado por melyrodr27

hola, ya borre el archivo ese con el Killbox. Pero me sigue apareciendo el aviso molesto, busco el archivo y sigue como si no lo hubiese borrado. Es bastante raro ya q hice exactamente lo q me dijiste, lo borre en modo a prueba de fallos pero nada.
Nose, crees q tenga q formatear el compu? dime q existe una solucion please jeje.
Un saludo.

ahora te indico que más cosas borrar del hijackthis

Para melyrodr27


1-Dale "fixed cheked" a las siguientes entradas del hijackthis:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Uninstall_CToolbar] "C:\WINDOWS\Temp\CTun.exe" "/remove"



2-Reinicia en modo a prueba de fallos localiza y borra los siguientes ficheros
C:\WINDOWS\Temp\CTun.exe


3-Reinicia en modo normal

4-Sube los siguientes ficheros a esta página y si alguno de los antivirus lo reconoce como virus elimina la entrada del hijackthis que te indico
en rojo (toda la linea) y luego busca y borra el fichero que justo te indico debajo.

http://www.virustotal.com/es/

****C:\WINDOWS\system32\wscrntfy.exe SUBELO******

SI TE LO DETECTA COMO VIRUS, dale "fixed cheked" a estas entradas en el hijackthis:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\wscrntfy.exe -runservice
O4 - HKLM\..\Run: [unsrvc] C:\WINDOWS\system32\wscrntfy.exe -runservice

BUSCA Y BORRA ESTE FICHERO en modo a prueba de fallos:
C:\WINDOWS\system32\wscrntfy.exe




5- Pasa los siguientes programas en este orden

Ad-Aware SE <-- actualizalo
Disk Cleaner
RegSeeker


6- Reinicia el equipo

7- Pasa este antivirus online y me pegas el reporte que te genera junto a un nuevo log del hijackthis y me comentas si se soluciono:

http://www.kaspersky.com/kos/spanish/kavwebscan.html

hola bueno, ya hice todo lo q me dijiste al pie de la letra. aqui te dejo el log de hijackthis:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 11:43:09 p.m., on 02/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Spyware Doctor\svcntaux.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe
C:\Archivos de programa\Lexmark X1100 Series\lxbkbmon.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\VM305_STI.EXE
C:\ARCHIV~1\PERSYS~1\Perav\PAV.EXE
C:\Archivos de programa\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\ARCHIV~1\PERSYS~1\Perav\pertsk.exe
C:\Archivos de programa\Persystems\Perav\PAVSS.EXE
C:\WINDOWS\System32\alg.exe
C:\Archivos de programa\Spyware Doctor\swdsvc.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Documents and Settings\Mely\Escritorio\Hijackthis\Hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatche ... p=aus&qkw=%s&tbid=61006
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.latam.msn.com/0SEESXL/SAOS01?FORM=TOOLBR
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=61006
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_custo ... TbId=61006
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=61006
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_custo ... TbId=61006
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.latam.msn.com/0SEESXL/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Systran40premi.IEPlugIn - {CFB25594-4D5F-11D6-AB7B-00B0D094B576} - C:\Archivos de programa\Systran\4_0\Premium\IEPlugIn.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [BigDog305] C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)
O4 - HKLM\..\Run: [PAV.EXE] C:\ARCHIV~1\PERSYS~1\Perav\PAV.EXE
O4 - HKLM\..\Run: [SDTray] C:\Archivos de programa\Spyware Doctor\SDTrayApp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Actualización de PER Antivirus.lnk = C:\Archivos de programa\Persystems\Perav\PERUPD.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-xl\msntabres.dll.mui/229?05b5760e094a46ca9f5a543b1ba52d00
O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-xl\msntabres.dll.mui/230?05b5760e094a46ca9f5a543b1ba52d00
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/ka ... nicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: PER Antivirus Security Service (pav_security) - PER SYSTEMS S.A. - C:\Archivos de programa\Persystems\Perav\PAVSS.EXE
O23 - Service: PER Antivirus (pav_service) - Unknown owner - C:\Archivos de programa\Persystems\Perav\PERVACNT.EXE
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - Unknown owner - C:\Archivos de programa\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\swdsvc.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe


y aqui el informe del antivirus:

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
miércoles, 02 de enero de 2008 23:38:37
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 3/01/2008
Registros en la base antivirus: 501838
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: estendidas
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
A:\
C:\
D:\
E:\
F:\

Estadísticas:
Número de objeros analizados: 37663
Virus encontrados: 3
Objetos infectados: 3 / 0
Objetos sospechosos: 0
Duración del análisis: 00:54:45

Bombre del objeto infectado / Nombre del virus / Última acción
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\Mely\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Mely\Configuración local\Archivos temporales de Internet\PhishingFilter\45E13EC5-3DB7-4B3D-9F80-073A58AB5E82.dat Object is locked saltado
C:\Documents and Settings\Mely\Configuración local\Datos de programa\Microsoft\Messenger\melyrodr27@hotmail.co m\SharingMetadata\Logs\Dfsr00005.log Object is locked saltado
C:\Documents and Settings\Mely\Configuración local\Datos de programa\Microsoft\Messenger\melyrodr27@hotmail.co m\SharingMetadata\pending.dat Object is locked saltado
C:\Documents and Settings\Mely\Configuración local\Datos de programa\Microsoft\Messenger\melyrodr27@hotmail.co m\SharingMetadata\Working\database_3CEC_F21E_ECF1_ D1DE\dfsr.db Object is locked saltado
C:\Documents and Settings\Mely\Configuración local\Datos de programa\Microsoft\Messenger\melyrodr27@hotmail.co m\SharingMetadata\Working\database_3CEC_F21E_ECF1_ D1DE\fsr.log Object is locked saltado
C:\Documents and Settings\Mely\Configuración local\Datos de programa\Microsoft\Messenger\melyrodr27@hotmail.co m\SharingMetadata\Working\database_3CEC_F21E_ECF1_ D1DE\fsrtmp.log Object is locked saltado
C:\Documents and Settings\Mely\Configuración local\Datos de programa\Microsoft\Messenger\melyrodr27@hotmail.co m\SharingMetadata\Working\database_3CEC_F21E_ECF1_ D1DE\tmp.edb Object is locked saltado
C:\Documents and Settings\Mely\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\Mely\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\Mely\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\melyrodr27@hotmail.com\real\members.stg Object is locked saltado
C:\Documents and Settings\Mely\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\melyrodr27@hotmail.com\shadow\members.stg Object is locked saltado
C:\Documents and Settings\Mely\Configuración local\Datos de programa\Microsoft\Windows Media\10.0\WMSDKNSD.XML Object is locked saltado
C:\Documents and Settings\Mely\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Mely\Configuración local\Historial\History.IE5\MSHist0120080102200801 03\index.dat Object is locked saltado
C:\Documents and Settings\Mely\Configuración local\Temp\~DFBE0D.tmp Object is locked saltado
C:\Documents and Settings\Mely\Configuración local\Temp\~DFBE76.tmp Object is locked saltado
C:\Documents and Settings\Mely\Configuración local\Temp\~DFD2E1.tmp Object is locked saltado
C:\Documents and Settings\Mely\Configuración local\Temp\~DFD304.tmp Object is locked saltado
C:\Documents and Settings\Mely\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\Mely\Datos de programa\Microsoft\MSNLiveFav\LiveFavorites.xml Object is locked saltado
C:\Documents and Settings\Mely\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\Mely\NtUser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\System Volume Information\_restore{F6F57418-FC69-41FF-BE8E-B37506F65C65}\RP2\A0000148.exe Infectados: not-a-virus:RiskTool.Win32.Reboot.e saltado
C:\System Volume Information\_restore{F6F57418-FC69-41FF-BE8E-B37506F65C65}\RP31\A0011124.exe Infectados: Trojan-Downloader.Win32.VB.cbz saltado
C:\System Volume Information\_restore{F6F57418-FC69-41FF-BE8E-B37506F65C65}\RP31\change.log Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\SoftwareDistribution\EventCache\{F3903D 9E-A427-4D56-9DE8-784BB04876B4}.bin Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado
C:\WINDOWS\Sti_Trace.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\wiadebug.log Object is locked saltado
C:\WINDOWS\wiaservc.log Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
F:\ntde1ect.com Infectados: Packed.Win32.NSAnti.r saltado

Análisis completado.

Gracias por todo y espero una respuesta.
saludos.

1

Código:

C:\System Volume Information\_restore{F6F57418-FC69-41FF-BE8E-B37506F65C65}\RP2\A0000148.exe Infectados: not-a-virus:RiskTool.Win32.Reboot.e saltado
C:\System Volume Information\_restore{F6F57418-FC69-41FF-BE8E-B37506F65C65}\RP31\A0011124.exe Infectados: Trojan-Downloader.Win32.VB.cbz saltado

Estos dos virus los tienes en uno de los restores del ssitems para eliminarlos, vete a las propidades de mi pc, restaurar sistema, activas desactivar restaurar sistema, aplicas, y vuelves a desmarcar desactivar sistema y vuevles aplicar.

2

Código:

F:\ntde1ect.com Infectados: Packed.Win32.NSAnti.r saltado

este virus esta en otra unidad, simplemente localizalo y borralo
F:\ntde1ect.com


3

Veo que el fichero:
C:\WINDOWS\system32\wscrntfy.exe

junto a las entradas las borrastes, te dio como virus cuando subistes el fichero?

una vez hecho todo, se solucionaron los problemas?

Hola, y si borre el fichero C:\WINDOWS\system32\wscrntfy.exe porq aparecio como virus.
Bueno hasta ahora todo bien, ya no me aparece el aviso molesto tb hice lo q me dijiste ahora ultimo y nada vcreo q ya quedo bien.
Aunq aun la siento como rara mi compu, como q lenta o algo asi, igual te egradesco por tu respuestas rapidas y siempre muy eficaz.
Saludos

siempre puedes hacer una defragmentación del disco o una limpieza general

De nada para eso estamos

Si tienes razon, voy a desfracmentar mi disco. Y dime como puedo hacer una limpieza general?

con estos programas deberia ser suficiente

http://www.hard-h2o.com/vertema/64815/m ... lware.html

un limpiador de registro como el regseeker.
un limpiador de sistema como el diskcleaner
y uno o varios limpiadores de malware.

luego haces una defragmentación y seguro que mejora la cosa, prueba y luego me comentas

hola, si ya esta. Yo creo q ya quedo, muchas gracias por todo.
Saludos

Este mensaje ha sido cerrado. Si tienes alguna duda del motivo, por favor escribe en nuestra rama de consultas.

Este mensaje ha sido cerrado. Si tienes alguna duda del motivo, por favor escribe en nuestra rama de consultas.