HOla, gracias por tener en cuenta mi problema.
Esta mañana el primer indicio fue que se me cambió el color del escritorio. Yo tenía un fondo liso color azul oscuro y aparece en gran parte fondo blanco y detrás se ve como un marco celeste claro al final de pantalla.
A la vez que me avisa Avast! que tengo un archivo encubridor y que puede ser signo de infección de software perjudicial. Me recomienda eliminar inmediatamente.
Nombre del archivo: MBR:\\PHYSICALDRIVE 0
Tipo: Encubridor: Archivo oculto

Luego de eso automáticamente comienzan idas y venidas de aviso de apagar, reiniciar y arrancar con antivirus para detectarlo en el arranque. Me pregunta si deseo programar el escáner para luego de reiniciar el sistema. Pero cuando hago esto, la máquina se cuelga luego del escaneo de reinicio.
Finalmente arranqué en modo seguro, siempre desactivando Restaurar Sistema. Hice un escaneo con Avast!, otro con SuperAntispyware, y Spybot, luego clean, luego limpie el registro con Regedit. y ahora estoy así, nuevamente con el mismo del principio.
PRendí la PC normal, Avast! vuelve con la misma advertencia, el escritorio blanco, levemente la noto un poco más lenta, pero no es significativo esto, Acepto el mensaje de Avast, reinicia y se cuelga en el escaneo de arranque.
Si es cierto, cómo se limpian los virus en memoria?

Bueno gracias de antemano!
Paso los logs que tal vez puedan servir.

María Fernanda

:::::::::::::::::


La ventana de advertencia del avast antes de iniciar el reinicio y escaneo:
05/05/2008 02:10:54 p.m. 1210007454 María Fernanda 4024 Sign of "Rootkit: hidden file" has been found in "MBR: \\.\PHYSICALDRIVE0" file.

La ventana que aparece luego del escaneo de arranque de AVAST! antes de colgarse:
Se encontró un problema y Windows ha sido apagado para evitar daños al equipo
DRIVER_IRQL_NOT_LESS_OR_EQUAL
Reinicie si es la primera vez que aparece este mensaje. Si no Compruebe hardware, nuevo o en mal funcionamiento, Desabilite nuevo hardwar o en mal funcionamiento, Desabilite opciones de memoria del BIOS como caché o vigilancia.

Logs de error:
5/5 Internal error has occurred in module aswar scan function failed!, function 00000002
6/5 Internal error has occurred in module basEncodeFile ToRootkitSubmite failed!, function C000003B
05/05/2008 10:35:07 a.m. 1209994507 SYSTEM 1140 Internal error has occurred in module basEncodeFileToRootkitSubmit failed! , function C000003B.
05/05/2008 12:25:25 p.m. 1210001125 SYSTEM 1136 Internal error has occurred in module basEncodeFileToRootkitSubmit failed! , function C000003B.
05/05/2008 10:20:39 p.m. 1210036839 María Fernanda 1972 Internal error has occurred in module aswar scan function failed!, function 00000002.

Del Spybot no entiendo por qué no quedaron guardados logs ayer ni día anterior. El último que quedó registrado es de hace una semana.

El último log del SuperAntiSpyware:

Generated 05/05/2008 at 09:30 PM
Application Version : 3.7.1018
Core Rules Database Version : 3452
Trace Rules Database Version: 1444
Scan type : Quick Scan
Total Scan Time : 00:43:20
Memory items scanned : 181
Memory threats detected : 0
Registry items scanned : 636
Registry threats detected : 2
File items scanned : 10472
File threats detected : 2

Adware.Tracking Cookie
C:\Documents and Settings\María Fernanda\Cookies\maría fernanda@pandasoftware.112.2o7[1].txt
C:\Documents and Settings\María Fernanda\Cookies\maría fernanda@cgi-bin[1].txt

Rootkit.Unclassified/SysDamp-Traces
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\System Reserved
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\System Reserved

y este es el anterior a las 2.40 PM:
Memory items scanned : 325
Memory threats detected : 0
Registry items scanned : 637
Registry threats detected : 2
File items scanned : 10470
File threats detected : 0

Rootkit.Unclassified/SysDamp-Traces
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\System Reserved
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\System Reserved


Por último pego un Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:14:35 a.m., on 06/05/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Documents and Settings\María Fernanda\Configuración local\Datos de programa\Google\Update\1.1.25.0\GoogleUpdate.exe
C:\Documents and Settings\María Fernanda\Configuración local\Datos de programa\YouTube\Uploader\youtubeuploader.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Archivos comunes\Protexis\License Service\PSIService.exe
C:\WINDOWS\system32\notepad.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Outlook Express\msimn.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = Download Directory
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\María Fernanda\Configuración local\Datos de programa\Google\Update\1.1.25.0\GoogleUpdate.exe" /lang en
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: YouTube Uploader.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...can_unicode.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.es/s/v/29.22/uploader2.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1130614195351
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O20 - Winlogon Notify: !SASWinLogon - C:\WINDOWS\
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Archivos de programa\Archivos comunes\Protexis\License Service\PSIService.exe

--
End of file - 6196 bytes

Pasale el Avg Antispyware. (Actualizalo, y al acabar el Scaneo elije la opcion eliminar, despues guarda el report y lo pegas)

sueb despues el reporte y el log, y descarga tambien:

Baja este programa:
Dr.Web CureIt
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

Doble click en drweb-cureit.exe
Clic en Star para que comience el scaneo
Al principio verifica la memoria y tienes que cliquear Yes cuando te pregunte si quieres que tal archivo sea curado (cure it ),esto es un scan rápido
Tambien te puede aparecer un pop up ofreciendo la posibilidad de comprar el programa ,solo elimina ese pop up y sigue…
Cuando ese scan termine haz clic en Options > Change settings
Elige la solapa Scan y destildas "Heuristic analysis".
Ahora vuelve a la ventana principal y eliges los discos a scanear:
elige “All Drives”,un punto rojo te indica cuales elegiste
Haz clic en la flecha verde ubicada a la derecha y comenzará el scaneo
Click 'Yes to all' si te pregunta si quieres “Cure” o “Move “ los archivos
Cuando el scaneo termine te fijas en los archivos encontrados y junto a ellos se halla un ícono trata de cliquear en ese y si puedes cliquea en otro ícono a la derecha y elige Move incurable
Esto pondrá esos archivos en “%userprofile%\DoctorWeb\quarantaine-folder”si no han podido “curarse”.
Ahora en el Menu principal clic en File y elige save report list
Guarda ese reporte en tu escritorio (el nombre será DrWeb.csv)
Cierra el programa
Nos cuentas
Salu2

¿Quieres ganar dinero escribiendo sobre tus aficiones? - www.Redactores.es

060508



Textual:
La ventana que aparece luego del escaneo de arranque de AVAST! antes de colgarse:
Se encontró un problema y Windows ha sido apagado para evitar daños al equipo
DRIVER_IRQL_NOT_LESS_OR_EQUAL
Reinicie si es la primera vez que aparece este mensaje. Si no Compruebe hardware, nuevo o en mal funcionamiento, Desabilite nuevo hardwar o en mal funcionamiento, Desabilite opciones de memoria del BIOS como caché o vigilancia.


Aca tienes el soporte de microsoft para tratar de solucionar el error de DRIVER_IRQL_NOT_LESS_OR_EQUAL..........


http://support.microsoft.com/?kbid=314063


Después para MBR: \\.\PHYSICALDRIVE0" file.

Trata con estas herramientas.................


http://www.zonavirus.com/datos/descargas/78/EliStarA.asp

http://www.zonavirus.com/datos/descargas/73/elitriip.asp

http://foros.zonavirus.com/si-el-infosattx...if-vt18469.html


Veremos que sucede........................

Hola muchas gracias!
Aquí pego el informe del AVG antispyware. Estoy haciendo el de DrWeb, pero aún no terminó y lleva como 3 horas:

Por otro lado, leí alguna vez que había que tener cuidado con los residentes activos de varios programas a la vez.
Este avg me quedo con el residente activado.
Por otro lado tengo el residente del Spybot también activado.
Entran en conflicto?
Bueno, aquí el informe:

+ Creado en: 04:00:47 p.m. 06/05/2008
+ Resultado del análisis:

C:\WINDOWS\LastGood\System32\Macromed\Download\Install.exe -> Dropper.Small : Limpios.
C:\WINDOWS\system32\szflrcj.exe -> Proxy.Agent.mf : Limpios.
C:\Documents and Settings\María Fernanda\Cookies\maría fernanda@pandasoftware.112.2o7[1].txt -> TrackingCookie.2o7 : Limpios.
C:\Documents and Settings\María Fernanda\Cookies\maría fernanda@ssl-hints.netflame[2].txt -> TrackingCookie.Netflame : Limpios.
C:\Documents and Settings\María Fernanda\Cookies\maría fernanda@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Limpios.

::Fin del informe
----

Hola mfbg,

Teniendo los dos Anti-Spywares activos a las vez en residentes pueden ocasionar conflictos, así que es mejor decidirse por uno nomas. Puedes quedarte con el Spybot S&D.

Así que realiza los sgte:

-Desactiva la protección residente del AVG Anti-Spyware
-Desactivar TeaTimer de SpyBot S&D:

• -Ejecuta Spybot S&D
• Haz clic en Modo y seleccionar Modo Avanzado
  
• Aparecerá un advertencia, presionar en Si
• En la parte izquierda del programa hay un pequeño menú
• Seleccionar la opción Herramientas
• Estando en Herramientas selecciona Residente
• Hay dos opciones en Residente que son:
  • Residente "SDHelper" (Bloquea descargas malignas en Internet Explorer) activa
  • Residente "TeaTimer" (Protección de la conflagración del sistema) activa
    • Si tiene marcada la opción #2 de TeaTimer desmarcarla para que no interfiera en el proceso de limpieza.
    • Reiniciar su maquina para que los cambios surtan efecto antes de ejecutar HijackThis.

Descarga MbrFix.exe y guárdalo en el escritorio.

-> Apagar restaurar sistema
-> Inicia en modo seguro

• Instalar la aplicación comúnmente en el directorio raíz C:\, quedando así = C:\MbrFix.exe
• Ir a Inicio=>Ejecutar y escribir CMD
• Después estando en la ventana MS-DOS escribir lo siguiente: C:/mbrfix /drive 0 listpartitions

Dependiendo del listado que te devolvió el comando C:/mbrfix /drive 0 listpartitions

-> Reiniciar en Modo Normal y Activar la restauración del sistema.
-> Comentar como esta funcionando todo actualmente.

Mensaje modificado por Felipex el May 6 2008, 10:39 PM

Nano, muchas gracias,
Pego el reporte del Dr. Web:

RegUBP2b-María Fernanda.reg C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Snapshots2 Trojan.StartPage.1505 Eliminado.

Sigue de todos modos la pantalla del escritorio blanca.

Pero un Hijackthis?

Muchas gracias

Muchas gracias dejavi.
No logré usar ni el Eli Trip, ni el Eli Star, ambos detectan un archivo infectido y se cierra inmediatamente el programa, lo mismo con uno u otro. El otro no me permitió bajarlo.

Muchas gracias!
MFBG

Hola,

¿Cómo continua todo?

Salu2!

Hola, gracias por preguntar. Sigue la pantalla blanca y siguen apareciendo virus en los escaneos.
Te cuento que recién hice lo que me has dicho, y saltée al paso 2, porque en el primer intento me desplegaba la lista de opciones del Mbr fix. Finalmente directamente le dí la segunda opción que me has puesto, luego del prompt y ahí sí me pregunta Y or N y puse Y y reinicié.

Te paso el log del Kaspersky on line.

No se qué más hacer.

Convendría un Hijackthis?

Gracias
María Fernanda

___________

jueves, 08 de mayo de 2008 20:20:11
Sistema operativo: Microsoft Windows XP Professional, (Build 2600)
Kaspersky Online Scanner versión: 5.0.98.0
Ultima actualización: 8/05/2008
Registros en la base antivirus: 746421


Configuración del análisis
Analizar usando las siguientes bases estendidas
Analizar archivos verdadero
Analizar bases de correo verdadero

Objetivo a analizar Mi PC
A:\
C:\
D:\

Estadísticas
Número de objeros analizados 38227
Virus encontrados 2
Objetos infectados 1
Objetos sospechosos 2
Duración del análisis 02:53:51

Bombre del objeto infectado Nombre del virus Última acción
C:\Archivos de programa\Alwil Software\Avast4\DATA\aswResp.dat Object is locked saltado

C:\Archivos de programa\Alwil Software\Avast4\DATA\Avast4.db Object is locked saltado

C:\Archivos de programa\Alwil Software\Avast4\DATA\integ\avast.int Object is locked saltado

C:\Archivos de programa\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked saltado

C:\Archivos de programa\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked saltado

C:\Archivos de programa\Alwil Software\Avast4\DATA\log\nshield.log Object is locked saltado

C:\Archivos de programa\Alwil Software\Avast4\DATA\report\Protección residente.txt Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\María Fernanda\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\María Fernanda\Configuración local\Datos de programa\Identities\{962EFA17-EE15-48D3-A44E-6AA37295D648}\Microsoft\Outlook Express\Elementos eliminados.dbx/[From "Caja Madrid"][Date Wed, 7 May 2008 13:21:52 +0200]/html Sospechosos: Trojan-Spy.HTML.Fraud.gen saltado

C:\Documents and Settings\María Fernanda\Configuración local\Datos de programa\Identities\{962EFA17-EE15-48D3-A44E-6AA37295D648}\Microsoft\Outlook Express\Elementos eliminados.dbx MailMSOutlook5: sospechoso - 1 saltado

C:\Documents and Settings\María Fernanda\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\María Fernanda\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\María Fernanda\Configuración local\Datos de programa\YouTube\Uploader\uploads.bk Object is locked saltado

C:\Documents and Settings\María Fernanda\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\María Fernanda\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\María Fernanda\ntuser.dat Object is locked saltado

C:\Documents and Settings\María Fernanda\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\WINDOWS\CSC\00000001 Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SCHEDLGU.TXT Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\system32\aqrgunq.exe Infectados: Trojan.Win32.NoUpdate.b saltado

C:\WINDOWS\system32\config\Antivirus.Evt Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\Temp\Perflib_Perfdata_408.dat Object is locked saltado

C:\WINDOWS\Temp\_avast4_\Webshlock.txt Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

Análisis completado.

descarga esta herramienta:

http://download.ewido.net/ewido_micro.exe

y que elimine todo lo que encuentre

090508



Textual:
PRendí la PC normal, Avast! vuelve con la misma advertencia, el escritorio blanco, levemente la noto un poco más lenta, pero no es significativo esto, Acepto el mensaje de Avast, reinicia y se cuelga en el escaneo de arranque.


Tienes un buen antivirus en el sistema, programa un escaneo desde el pre-arranque y veremos que te saca...........................

Hola mfbg.

Realiza lo sgte:

-->Active Ver archivos ocultos
-->Elimina estos archivos:
C:\WINDOWS\system32\aqrgunq.exe
C:\Documents and Settings\María Fernanda\Configuración local\Datos de programa\Identities\{962EFA17-EE15-48D3-A44E-6AA37295D648}\Microsoft\Outlook Express\Elementos eliminados.dbx


Descarga las sgtes herramientas pero no las ejecutes aún:

Malwarebytes' Anti-Malware. (Selecciona idioma español)
Background.zip y guárdalo en el escritorio.
RegUnlocker.exe

->Inicia en modo seguro

->Ejecutar MBAM:

• Al finalizar la instalación te indicara que debes actualiza la herramienta antes de ejecutarla para trabajar con las últimas bases de datos del programa.
• En caso de presentar algún problema a la hora de la actualización, debes acceder a tú Firewall y configurarlo para que le des permisos de acceso a Internet a la herramienta Malwarebyte's Anti-Malware.
• Ejecuta MBAM
• Realiza un escaneo completo del PC y elimina las infecciones que este detecte. El reporte queda guardado en la pestaña Logs o Registros en español, abres el reporte y copias el contenido para pegarlo en este tema.

->Background:

• Descomprime el contenido y abre la carpeta creada.
• Ejecutar el archivo Background.reg y aceptar su entrada al registro.

->RegUnlocker:
->Seleccionar las opciones de Restricciones.

->Reiniciar en Modo normal esconder los archivos ocultos y pegar el reporte que generó el MBAM y pegas un nuevo Log de HJT.

Salu2!