Hola, que tal!

Os comento mi problema, espero podais ayudarme:

Bueno, lo primero, tengo un disco duro con una partición:
- C: windows xp sp2 build 2600
- D: documentos
Tengo una única cuenta de Administrador.

El caso es que ayer quería descargarme del eMule el programa CCleaner Portable. Mi Norton Antivirus 2006 le dio el visto bueno, lo ejecuté y empezaron los problemas:
- No se iniciaba el instalador (ya pensé, "malo....")
- Se cerró el Norton..
- Apareció un proceso hldrrr.exe, y con él también estaba el WINWORD.exe
Intenté eliminar el supuesto CClenaer Portable.exe pero estaba en uso. Lo intenté desbloquear con el programa Unlocker, y ahí vi que estaba siendo utilizado por el archivo hldrrr.exe de la carpeta system32.
Me desconecté de internet y e intenté reiniciar en Modo a prueba de fallos. El PC hizo varios intentos pero no pudo. Elegí la opción de reiniciar en Modo a prueba de fallos (última configuración que funcionó), y por fin fui capaz de reiniciar.
Trate de pasarle el Norton pero comprobé que estaba fuera de servicio. De hecho, se habían desinstalado los driver de la tarjeta gráfica, monitor, router USB ADSL, algo de los controladores bus y scsi del Alcochol 120%, y alguna cosa más.

Entonces reinicié en Modo Normal para instalar todo de nuevo y recuperar la conexión a internet. Desinstalé el Norton, que estaba inservible, y traté de reinstalarlo, pero el virus no permitía el archivo NMain.exe. Tampoco me dejaba instalar el Avira Antivir, pues el virus eliminaba su ejecutable.

Le pasé el Panda Online:
Incidencia Estado Elemento
Virus:w32/bagle.hx.worm Desinfectado Sistema Operativo

Le pasé el Ewido Online:
Name: TrackingCookie.Advertising
Path: C:\Documents and Settings\Administrador\Cookies\administrador@advertising[1].txt
Risk: Medium

Name: TrackingCookie.Doubleclick
Path: C:\Documents and Settings\Administrador\Cookies\administrador@doubleclick[1].txt
Risk: Medium

Name: TrackingCookie.Webtrends
Path: C:\Documents and Settings\Administrador\Cookies\administrador@m.webtrends[2].txt
Risk: Medium

Name: TrackingCookie.2o7
Path: C:\Documents and Settings\Administrador\Cookies\administrador@pandasoftware.112.2o7[1].txt
Risk: Medium

Name: TrackingCookie.Netflame
Path: C:\Documents and Settings\Administrador\Cookies\administrador@ssl-hints.netflame[1].txt
Risk: Medium

Name: TrackingCookie.Statcounter
Path: C:\Documents and Settings\Administrador\Cookies\administrador@statcounter[2].txt
Risk: Medium

Name: TrackingCookie.Tradedoubler
Path: C:\Documents and Settings\Administrador\Cookies\administrador@tradedoubler[1].txt
Risk: Medium

Name: TrackingCookie.Yieldmanager
Path: C:\WINDOWS\Temp\Cookies\administrador@ad.yieldmanager[1].txt
Risk: Medium

Después continué investigando, y di con un post de este foro:
Error al instalar antivirus, de ferni.69
en el que le recomendabais varios programas: FileAssassin, CCleaner, SecurityFix, Avira RootKit Detection.
Asimismo en el foro de otra pagina recomendaban: EliBaglA, SuperAntiSpyware, ComboFix.

Descargué todos esos programas y el proceso que he seguido es el siguiente:

Reinicié en modo a prueba de fallos (no me dio problema esta vez):

- CCleaner:
El listado del log es bastante largo, si es necesario me decís y lo adjunto.

- SecurityFix:
Reporte de SecurityFix v1.6
Reporte Creado: 5:30:25.28, 2007-12-31
Sistema Operativo: Microsoft Windows XP [Versión 5.1.2600]
Archivo ejecutado desde: C:\Archivos de programa\Antivirus\SecurityFix


»»»»»»»»»»»» Carpetas y Archivos infectados »»»»»»»»»»»»

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\

»»»»»»»»»»»» FIN »»»»»»»»»»»»

- EliBagle v10.79 de Infosat:

Mon Dec 31 05:10:12 2007
EliBagle v10.79 ©2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.79
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"

Mon Dec 31 05:17:25 2007
EliBagle v10.79 ©2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Mon Dec 31 05:31:34 2007
EliBagle v10.79 ©2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Mon Dec 31 05:31:38 2007
EliBagle v10.79 ©2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\drivers\down\14473968.EXE --> Eliminado Bagle

Nº Total de Directorios: 5623
Nº Total de Ficheros: 65631
Nº de Ficheros Analizados: 9920
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Mon Dec 31 05:36:43 2007
EliBagle v10.79 ©2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios: 2973
Nº Total de Ficheros: 48179
Nº de Ficheros Analizados: 4678
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

- SuperAntiSpyware:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 12/31/2007 at 07:02 AM

Application Version : 3.9.1008

Core Rules Database Version : 3259
Trace Rules Database Version: 1270

Scan type : Complete Scan
Total Scan Time : 01:15:56

Memory items scanned : 152
Memory threats detected : 0
Registry items scanned : 5768
Registry threats detected : 0
File items scanned : 48036
File threats detected : 1

Unclassified.Unknown Origin/System
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE

Después reinicié en Modo Normal e hice lo siguiente:

- El icono del acceso directo del SuperAntiSpyware:
Resulta que antes era una cara con una señal de prohibido, y ahora es idéntico al icono que tenía el arhivo hldrrr.exe, las letras NU en amarillo sobre un fondo azul
(menudo mosqueo que me da este programa...).

- Apareción un mensaje de Windows:
Protección de archivos de Windows:

Los archivos necesarios para que Windows se ejecute correctamente se han reemplazado por versiones desconocidas. Windows debe restaurar las versiones originales de estos archivos para mantener la estabilidad del sistema.

Inserte su CD de Windows XP Professional Service Pack 2 ahora.
Reintentar Más información Cancelar

(he dejado la ventana abierta, sin tocar nada).

- Avira RootKit Detection:
Avira AntiRootkit Tool - Beta (1.0.1.17)

========================
- Scan started 2007-12-31 - 07:15
========================
-------------------------------------------
Configuration:
-------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 20.00 GB
- Working disk free size : 948.62 MB (4 %)
--------------------------------------------------

Scan task finished. No hidden objects detected!

--------------------------------------------------
Files: 0/122500
Registry items: 0/291380
Processes: 0/26
Scan time: 00:06:43
--------------------------------------------------
Active processes:
- oskfmxsh.exe (PID 1988) (Avira AntiRootkit Tool - Beta)
- System (PID 4)
- smss.exe (PID 332)
- csrss.exe (PID 388)
- winlogon.exe (PID 416)
- services.exe (PID 460)
- lsass.exe (PID 472)
- svchost.exe (PID 620)
- svchost.exe (PID 696)
- svchost.exe (PID 736)
- svchost.exe (PID 800)
- svchost.exe (PID 864)
- spoolsv.exe (PID 904)
- alg.exe (PID 1224)
- explorer.exe (PID 1680)
- Type32.exe (PID 1748)
- DUMeter.exe (PID 1764)
- NoPops.exe (PID 1776)
- opwareSE2.exe (PID 1956)
- devldr32.exe (PID 1964)
- ctfmon.exe (PID 1996)
- msnmsgr.exe (PID 2012)
- WinSnap.exe (PID 2024)
- taskmgr.exe (PID 296)
- svchost.exe (PID 1736)
- avirarkd.exe (PID 1976)
========================
- Scan finished 2007-12-31 - 07:22
========================

- Ewido Online:
Me he puesto a pasar el Ewido y al rato se ha reiniciado sólo el PC. Ha aparecido un nuevo proceso savedump.exe (no lo había visto nunca).
Ahora de nuevo estoy pasando el Ewido. En cuanto termine adjuntaré el report.


Espero podais ayudarme. Muchas gracias de antemano.

Hola de nuevo!

Se me olvidó comentar antes que mi sistema operativo no tiene la opción de Restaurar Sistema. Es una versión customizada o algo así, de modo que esa función siempre está desactivada.

Aquí os adjunto los últimos reportes:

- Ewido Online:

_________________________________
ewido anti-spyware online scanner
http://www.ewido.net
_________________________________

Name: TrackingCookie.Webtrends
Path: C:\Documents and Settings\Administrador\Cookies\administrador@m.webtrends[2].txt
Risk: Medium

Name: TrackingCookie.Netflame
Path: C:\Documents and Settings\Administrador\Cookies\administrador@ssl-hints.netflame[2].txt
Risk: Medium

- Kaspersky Online:

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Monday, December 31, 2007 1:11:56 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 31/12/2007
Kaspersky Anti-Virus database records: 500668
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\
I:\

Scan Statistics:
Total number of scanned objects: 115931
Number of viruses found: 4
Number of infected objects: 7
Number of suspicious objects: 0
Duration of the scan process: 03:01:49

Infected Object Name / Virus Name / Last Action

C:\Archivos de programa\Antivirus\SuperAntiSpyware\SUPERAntiSpyware.exe Infected: Trojan-Downloader.Win32.Bagle.hh skipped
C:\Archivos de programa\Web\DU Meter\DUMeter.exe Infected: Trojan-Downloader.Win32.Bagle.hh skipped

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\MSHist012007123120080101\index.dat Object is locked skipped
C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\Administrador\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\Administrador\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\cmdow.exe Infected: not-a-virus:RiskTool.Win32.HideWindows skipped
C:\WINDOWS\system32\config\ACEEvent.evt Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\drivers\atapi.sys Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\Temp\hsperfdata_Administrador\3104 Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped

D:\Programas\Web\AudioGalaxy\AudioGalaxy Satellite 0.608.exe/fsg-ag.exe Infected: not-a-virus:AdWare.Win32.Gator.1050 skipped
D:\Programas\Web\AudioGalaxy\AudioGalaxy Satellite 0.608.exe Vise: infected - 1 skipped
D:\Programas\Drivers+Codecs\Codec Pack Elisoft 13.505\Codec Pack Elisoft 13.505.exe/divx505\gain_trickler_3202.exe Infected: not-a-virus:AdWare.Win32.Gator.3202 skipped
D:\Programas\Drivers+Codecs\Codec Pack Elisoft 13.505\Codec Pack Elisoft 13.505.exe/divx502\gain_trickler_3202.exe Infected: not-a-virus:AdWare.Win32.Gator.3202 skipped
D:\Programas\Drivers+Codecs\Codec Pack Elisoft 13.505\Codec Pack Elisoft 13.505.exe Gentee: infected - 2 skipped


Scan process completed.

- HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 14:56, on 2007-12-31
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Microsoft Hardware\Keyboard\type32.exe
C:\Archivos de programa\Web\NoPops\NoPops.exe
C:\Archivos de programa\Imagen\Escaner\ScanSoft OmniPageSE2.0\OpwareSE2.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Imagen\WinSnap\WinSnap.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Audio\Winamp\winamp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
D:\Descargas\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Imagen\Adobe Acrobat Pro\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FCBHOBHO Class - {8B3868B4-EBA8-48FA-A19B-E1DFB99066FA} - C:\Archivos de programa\Web\FlashCapture\FCBHO.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\Web\FlashGet\jccatch.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Imagen\Adobe Acrobat Pro\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\Web\FlashGet\fgiebar.dll
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Imagen\Adobe Acrobat Pro\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IntelliType] "C:\Archivos de programa\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DU Meter] C:\Archivos de programa\Web\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [NoPops] C:\Archivos de programa\Web\NoPops\NoPops.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\Vídeo\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Archivos de programa\Audio\SoundBlaster\Program\AHQInit.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Archivos de programa\Imagen\Escaner\ScanSoft OmniPageSE2.0\OpwareSE2.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WinSnap] C:\Archivos de programa\Imagen\WinSnap\WinSnap.exe /startup
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
O4 - Startup: Administrador de tareas de Windows.lnk = C:\WINDOWS\system32\taskmgr.exe
O4 - Startup: Wanadoo ADSL.lnk = ?
O8 - Extra context menu item: Descargar TODO con FlashGet. - C:\Archivos de programa\Web\FlashGet\jc_all.htm
O8 - Extra context menu item: Descargar usando FlashGet. - C:\Archivos de programa\Web\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Save F&lash with FlashCapture - res://C:\Archivos de programa\Web\FlashCapture\FCIEXT.dll/FCIEXT.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: FlashCapture - {753BBC4B-CC73-4fb8-A5B5-CA09C804C1DD} - C:\Archivos de programa\Web\FlashCapture\FCIEXT.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\Web\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\Web\FlashGet\flashget.exe
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Administrador\Menú Inicio\Programas\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{86DBF1E7-68B8-4341-8606-D3F562B0D8F7}: NameServer = 62.36.225.150 62.37.228.20
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\Antivirus\SuperAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

Os agradezco una vez más vuestra ayuda.

Un saludo


¿Quieres ganar dinero escribiendo sobre tus aficiones? - www.Redactores.es

Hola y bienvenido al foro edelmiro.

Observando varios de tus reportes, veo que no detectan nada, aun así usando Antitootkis, AntiVirus y herramientas especiales, además no veo muchas posibilidades de solucionar este caso con tanto problema.

Descarga las siguientes herramientas para la desinfección:

Combofix.exe
Securityfix
WinsockXPFix
FileASSASSIN

Activar la opción Ver archivos ocultos

Inicia el sistema en Modo a Prueba de Fallos

DIRIGETE A INICIO --> PANEL DE CONTROL --> AGREGAR O QUITAR PROGRAMAS --> BUSCA Y DESINSTALA EL SUPERANTISPYWARE, DU METER Y NOPOPS.

Luego busca y elimina los siguientes archivos, si no se dejan eliminar, usa el FileASSASSIN:

C:\WINDOWS\system32\cmdow.exe
D:\Programas\Web\AudioGalaxy\AudioGalaxy Satellite 0.608.exe
D:\Programas\Drivers+Codecs\Codec Pack Elisoft 13.505\Codec Pack Elisoft 13.505.exe
C:\WINDOWS\system32\wintems.exe

Luego ejecuta el Hijackthis y "Fix chequed" a las siguientes entradas:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [NoPops] C:\Archivos de programa\Web\NoPops\NoPops.exe

O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe

O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Administrador\Menú Inicio\Programas\IMVU\Run IMVU.lnk (file missing)

O17 - HKLM\System\CCS\Services\Tcpip\..\{86DBF1E7-68B8-4341-8606-D3F562B0D8F7}: NameServer = 62.36.225.150 62.37.228.20

Después ejecuta el WinsockXPFix, siguiendo bien su manual.

Luego ejecuta el SecurityFix, usando también su manual nos pegas el reporte que te genere, se localiza en C:\Reporte.txt

Por ultimo ejecuta el Combofix.exe, siguiendo muy bien su manual, nos pegas el reporte que te genere.

Reinicia el sistema en Modo Normal y Esconde los archivos ocultos.

Vuelves a ejecutar el Panda ActiveScan e Hijackthis.

NOTA: Pegar solamente los siguientes reportes.
SecuriyFix
Combofix.exe
Panda ActiveScan
Hijackthis

Salu2

Hola, buenos días y Feliz año a todos!

Siento no haber podido responder antes. Ha habido complicaciones, ya que no consigo el PC, y he tenido que conseguir otro PC para escribir.

Descargué los programas. Ejecuté msconfig --> Safeboot. Reinicié.
Pero el PC intenta reiniciar indefinidamente sin éxito.
- Si elijo el Modo seguro/ Modo seguro con red o con símbolo del sistema:
Abajo de la ventana se cargan los archivos necesarios, después sale otra ventana negra y abajo pone "Press Esc to cancel loading a347bus.sys". Y tanto si pulso Escape o no, vuelve a reiniciar.
- Si elijo Última config buena conocida/ Iniciar Windows normalmente:
Aparece la imagen de Windows XP unos segundos y vuelve a reiniciar.

El caso es que la última vez que arrancó el sistema no hice nada de particular.
Como no sé que información puede ser significativa, comento todo lo que hice:
- Terminé el proceso hldrr.exe en el Admin. tareas (como las anteriores veces que inicié Windows).
- Visité el foro (muchas gracias, lalo_a_link por tu interés!).
- Descargué los programas ComboFix, WinsockxpFix, FileAssassin. Reinstalé el SecurityFix (pues la versión que tenía era más antigua).
- Respecto al archivo a347bus.sys, que creo que es un controlador del Alcohol 120%, había reinstalado el programa y no me había dado problemas.
- Esta vez no le había pasado ningún antivirus, no sé si tendrá algo que ver..
- Reinicié.

Espero poder salir de ésta.

Un saludo y muchas gracias

Buenas tardes!

He consultado sobre la imposibilidad de arrancar Windows por error en la carga de los controladores a347bus.sys y a347scsi.sys del Alcohol 120%. Hay bastante gente a la que le ha pasado, pero no parece que haya una solución clara.

He probado a insertar el CD de Windows para iniciar la Consola de recuperación:

- Eliminé los archivos hldrrr.exe y srosa.sys del directorio system32\drivers\.

- Deshabilité la carga al inicio de los controladores del Alcohol con los comandos:
disable a347bus
disable a347scsi
Intenté reiniciar pero no fue posible, aunque ya no aparecía el error "Press Esc to cancel loading a347bus.sys".

- Renombré los archivos de ambos controladores del directorio system32\drivers\. Tampoco sirvió.

- Hay otra posibilidad, que sería modificar el Registro para evitar la carga de dichos controladores, pero no sé como acerlo desde la Consola de recuperación.

El caso es que no sé a qué más puede deberse este problema. Ojalá podais echarme una mano. De nuevo, gracias.

Saludos

Hola de nuevo edelmiro

Sobre el problema de los Drivers a347bus.sys y a347scsi.sys, pues deberías de desinstalar el Alcohol 120%.

Luego haz los pasos que te indique, si no es posible iniciar su sistema en Modo Seguro, hace los pasos así como están saltándose este paso.

Salu2

Hola lalo_a_link,

El problema que tengo ahora es que no consigo reiniciar el PC, ni en Modo Normal ni en Modo Seguro.

De modo que no sé cómo desinstalar el Alcohol.

Y tampoco creo que pueda ejecutar los programas, ya que desde la Consola de recuperación no tengo acceso a C:\Archivos de programa\

Se te ocurre algo que pueda hacer?

Un saludo

Hola de nuevo edelmiro.

En estos extremos te recomendaría que reinstalaras tu Windows XP.

¿Como reinstalar Windows sin perder los datos?

Salu2

Buenas!

Sí, creo que tendré que formatear e instalar.

Muchas gracias por tu ayuda, lalo_a_link.

Saludos

Hola.

Pues sería lo mejor, ya que con tantos errores y problemas, sería casi imposible de solucionarlos, jijiji.

Este tema se cierra. , si lo quieres reabrir mandame un MP.

Salu2 y suerte