*Virus en el messenger

hola, apelo a este foro en busca de ayuda, pues desde hace algunos dias he notado que al abrir el messenger y si hay algun contacto conectado, automaticamente le envia un comprimido a ese contacto, o le envia un mensaje, lo cual me tiene preocupado, pues se trata de un virus, que mi antivirus no lo detecta, debo decir que tengo instalado el nod 32, pero lo he pasado varias veces y no he logrado eliminarlo, agradezco la ayuda que me puedan dar.

Si no c lo que pasa ultimamente que cada vez hay mas gente con esa clase de problemas con el msn.
Ya que tenes un virus vamos a eliminarlo, para eso ejecuta esta herramienta (Do a system scan and save a logfile) , cuando genere el informe y pegalo o subilo a la pagina asi te digo que eliminar para dehacerte del problema, esto no tarda mas de un minuto y no hace falta instalarlo.
Hijack
http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

Si tenes una duda de como usar esta herramienta hace clik en mi firma

Hola, que tal?

Lo que te recomendaria que hagas es el escaneo de la pc con algun antispyware ademas del antivirus, como el ad-aware o spybot search and destroy, ambos gratuitos, los encuentras facil buscandolos en google, los instalas y los actualizas
Reinicias la PC en modo seguro, antes de que cargue la primera pantalla de windows, apretas F8, para entrar en modo seguro, ya dentro le haces un escaneo completo, tambien con el antivirus.

Luegos haces una limpieza del sistema con el programa ccleaner, una limpieza de windows, y al registro, al registro es necesario repetir la operacion hasta que no encuentre ningun error.

Luego reinicia nuevamente en modo normal, y pasale una escaneada con el panda online, pare verificar que todo este limpio. http://www.pandasecurity.com/spain/homeusers/solutions/activescan/

Espero que te sea util, cualquier duda avisa

hola eze, ya hice lo que tu me señalaste que hiciera, aca te dejo lo que me boto hijack, espero que esto sea lo que me pediste,


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:03:56 p.m., on 29/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\VisualTask\VisualTaskTips.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\wtsdlksiq.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\Photodex\ProShowGold\ScsiAccess.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Documents and Settings\Angelical\Escritorio\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://arfes.ircfast2.com/index.php?mid=1130954790&sid=8335&c=CR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [VisualTask] C:\Archivos de programa\VisualTask\VisualTaskTips.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [wtsdlksiq] C:\WINDOWS\system32\wtsdlksiq.exe
O4 - HKLM\..\Run: [Itch ford four knob] C:\Documents and Settings\All Users\Datos de programa\third lies itch ford\Test bone.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Archivos de programa\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [MeetSite] C:\DOCUME~1\ANGELI~1\DATOSD~1\SECOND~1\ForkInfo2.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033 -noicon
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D9E6BE2-A257-40BD-B0B1-9CDCF85E8CD5}: NameServer = 201.221.151.31,201.221.151.32
O17 - HKLM\System\CS1\Services\Tcpip\..\{4D9E6BE2-A257-40BD-B0B1-9CDCF85E8CD5}: NameServer = 201.221.151.31,201.221.151.32
O17 - HKLM\System\CS2\Services\Tcpip\..\{4D9E6BE2-A257-40BD-B0B1-9CDCF85E8CD5}: NameServer = 201.221.151.31,201.221.151.32
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Print Spooler Service (e0i9ae3wmtntuj) - Unknown owner - C:\WINDOWS\system32\wtsdlksiq.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SimCity4 Startup Manager Service (sc4stupmngrService) - Unknown owner - C:\Archivos de programa\SimCity4 StartupManager\sumservice.exe
O23 - Service: ScsiAccess - Unknown owner - C:\Archivos de programa\Photodex\ProShowGold\ScsiAccess.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--saludos

barry, como estas?,bueno yo le he pasado varias scan online,con el kaspersky, norton, y avg, ademas tengo el ad-aware se personal, ademas de las scaneadas que le he pasado con el nod 32, y estos no me botan ninguna amenaza, pero el problema sigue pues ya no puedo entrar al messenger porque enseguida inicia el envio de mensajes a los contactos que esten conectados, desinstale el messenger limpie el registro con regclean y nada todo ha sido inutil.

Bueno encontre una cosa que no tendria que estar asi que vamos a eliminarlo.
Para eso deshabilita la opcion Restaurar Sistema inicia la pc en Modo Seguro (condiciones fundamentales)
Una vez que estes en modo seguro volve a ejecutar el HijackThis, selecciona las siguientes entradas y dale a FIX:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://arfes.ircfast2.com/index.php?mid=1130954790&sid=8335&c=CR
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [wtsdlksiq] C:\WINDOWS\system32\wtsdlksiq.exe
O4 - HKLM\..\Run: [Itch ford four knob] C:\Documents and Settings\All Users\Datos de programa\third lies itch ford\Test bone.exe
O4 - HKCU\..\Run: [MeetSite] C:\DOCUME~1\ANGELI~1\DATOSD~1\SECOND~1\ForkInfo2.exe
O23 - Service: Print Spooler Service (e0i9ae3wmtntuj) - Unknown owner - C:\WINDOWS\system32\wtsdlksiq.exe

Tambien encontre otra cosa que me resulta muy raro, vos jugas al SIMS? xq al parecer levanta un servicio, es raro q un juego levante un servicio, si queres eliminalo tambien, la entraga es la siguiente:
O23 - Service: SimCity4 Startup Manager Service (sc4stupmngrService) - Unknown owner - C:\Archivos de programa\SimCity4 StartupManager\sumservice.exe
Apenas pones FIx volve a poner Scan y fijate si se borraron realmente las entradas, la entrada 023 es la que realmente me importa, es un servicio, si no se borra vas a tener que deshabilitarlo manualmente, para eso anda a Inicio> ejecutar> services.msc cuando se levante la consola de servicios buscalo, paralo y modificalo para q el tipo de de ejecucion este en deshabilitado.
Cuando lo hayas hecho, mientras seguis en modo seguro realiza con escaneo con tu antivirus actualizado (por lo que vel es Nod32, esta bien pero te recomendaria que uses el Kaspersky Internet Security 7 u 8 o Trend Micro Internet Security 2007 o 2008 para estar totalmente protegido). Bueno cuando termine el escaneo ejecuta el CCleaner tanto para limpieza de disco como de registro.
Listo inicia la pc normalmente y fijate como anda la cosa.
Espero haberte ayudado, perdona por la tardanza pero recien entro al foro.

Suerte y comentame como te fue.

Si tenes una duda de como proceder hace clik en mi firma

hola eze, ya hice lo que me dijiste, y tos se han borrado excepto:023-service:print spooler service (eOi9ae3wmtntuj)-unknown owner-C/windows/system32/wtsdlksiq.exe, y pues no he entendido muy bien lo desactivarlo manualmente,lo que no entiendo es lo que me dices: paralo y modificalo para q el tipo de de ejecucion este en deshabilitado.
o sea que debo hacer para modificarlo, no me queda claro lo que me dices paralo, y modificalo,agradeceria si me explicaras un poco mas este procedimiento, de antemano te agradezco por toda tu colaboracion, debo decirte que el problema continua,puede ser por esa entrada 23 que no he podido desactivar, saludos

Perdon si no fui muy claro. VAmos de a poco entonces.
1- Inicio> Ejecutar> Services.msc
2- Cuando te aparesca la consola, localiza el siguiente servicio.
3- Seleccionalo y hace click derecho> Propiedades
4- Busca donde dice tipo de inicio y cambialo a Deshabilitado.
5- Fiajte arriba del tipo de inicio dice Ruta de acceso al ejecutable, buscalo y eliminalo. (si no podes hacerlo, hecelo en modo seguro)

bueno con eso estaria, hace un escaneo en modo seguro por las dudas, volve a ajaecutar el hijack y subilo para ver si quedo algo raro, pero si ves que quedo todo bien da por solucionado el tema.

Suerte con eso.

hola eze,hice conforme a las indicaciones que me diste, y al parecer se ha solucionado el problema, he tratado de comunicarme con mis contactos quienes al final son los que me pueden informar si ya no les aparece los envios de comprimidos que les llegaba desde mi correo, te dejo el informe de el hijack, como me pediste, y un agradecimiento especial por toda esa maravillosa colaboracion.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:37:35 p.m., on 31/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\VisualTask\VisualTaskTips.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\Photodex\ProShowGold\ScsiAccess.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Documents and Settings\Angelical\Escritorio\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [VisualTask] C:\Archivos de programa\VisualTask\VisualTaskTips.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Archivos de programa\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033 -noicon
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D9E6BE2-A257-40BD-B0B1-9CDCF85E8CD5}: NameServer = 201.221.151.31,201.221.151.32
O17 - HKLM\System\CS1\Services\Tcpip\..\{4D9E6BE2-A257-40BD-B0B1-9CDCF85E8CD5}: NameServer = 201.221.151.31,201.221.151.32
O17 - HKLM\System\CS2\Services\Tcpip\..\{4D9E6BE2-A257-40BD-B0B1-9CDCF85E8CD5}: NameServer = 201.221.151.31,201.221.151.32
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ScsiAccess - Unknown owner - C:\Archivos de programa\Photodex\ProShowGold\ScsiAccess.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

no cierro el tema hasta que revises este informe y me des el visto bueno.

Bueno Marros tenes el log limpio y libre de amanazas

Asi que ya podes dar como solucionado tu pregunta

Suerte.

gracias eze, nuevamente, y agradezco a este foro que ha sido muy util para mi, en muchas ocaciones me han ayudado, seguire fiel y promocionandolo.

Amigo es facil eliminar cuando envia virus tu msn solo instala el panda 2007 lo actualizas y le pasas a la maquina y de alli desistalas el panda por que es pesado para algunas maquinas pero adios a los envios de virus de fotos y comprimidos del msn. lo que si no se que pueda ser tengo un problema diferente cuando estoy conversando con un contacto y quiero cambiar mi icono que muestro voy a al contacto y de alli cambiar mi imagen de alli voy a examinar y me bota del msn messenger que podra ser les agradeceria mucho si me ayudaran cuidense bye jenryaqa@hotmail.com

Señores Buenas noches desde Mexico Queretaro:

Veo que todos han aportado y por lo mismo envio mi aporte, todos han dado excelentes soluciones aqui les va otra que me ha funcionado.
descarguen el Windows Defender de la pagina de microsoft. ( ojo tu licencia de windows debe ser original para que se instale) en cuanto este instalado actualizalo y desconectate de internet, cierra el messenger y ejecuta un scan el encontrara al insecto que esta dando lata, aguas este virus se autocopia cuando es localizado pero el muy tonto lo hace con el mismo nombre, en cuanto el Windows defender te indique que programa presenta riesgo copia el nombre con todo y su extension. impide el acceso con el programa y listo. despues reinicia tu pc en modo seguro y cuando este cmpleta la carga de windows ve al boton inicio y despues en buscar ahi escribes el nombre del archivo que te detecto el Windows defender, lo localizas lo eliminas vacias la papelera y deshabilitas la opcion de restaurar sistema.
recinicias la pc en modo normal y listo el insecto desaparecio.

espero les sea tan util como lo fue para mi.

un saludo desde Queretaro.

hola, tambien presento este problema del virus y desde q entro en mi comp se ha relentizado. ademas hice el escaneo y esto es lo q me arrojo:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:20:09 a.m., on 09/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS2\System32\smss.exe
C:\WINDOWS2\system32\winlogon.exe
C:\WINDOWS2\system32\services.exe
C:\WINDOWS2\system32\lsass.exe
C:\WINDOWS2\system32\Ati2evxx.exe
C:\WINDOWS2\system32\svchost.exe
C:\WINDOWS2\System32\svchost.exe
C:\WINDOWS2\system32\svchost.exe
C:\WINDOWS2\system32\Ati2evxx.exe
C:\WINDOWS2\system32\spoolsv.exe
C:\WINDOWS2\system32\lkcitdl.exe
C:\WINDOWS2\system32\lkads.exe
C:\WINDOWS2\system32\lktsrv.exe
C:\Archivos de programa\National Instruments\Shared\Security\nidmsrv.exe
C:\WINDOWS2\system32\nisvcloc.exe
C:\WINDOWS2\system32\IoctlSvc.exe
C:\WINDOWS2\system32\HPZipm12.exe
C:\WINDOWS2\System32\PAStiSvc.exe
C:\Archivos de programa\Trend Micro\BM\TMBMSRV.exe
C:\WINDOWS2\Explorer.EXE
C:\WINDOWS2\system32\ctfmon.exe
C:\Archivos de programa\Trend Micro\Internet Security\UfSeAgnt.exe
C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe
C:\Archivos de programa\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe
C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
C:\Archivos de programa\Mozilla Firefox 3 Beta 4\firefox.exe
C:\WINDOWS2\system32\svchost.exe
C:\WINDOWS2\Integrator.exe
C:\ARCHIV~1\Trend Micro\Internet Security\TmPfw.exe
C:\Archivos de programa\Trend Micro\Internet Security\TmProxy.exe
C:\Archivos de programa\Trend Micro\Internet Security\SfCtlCom.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\mom.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Documents and Settings\IMVITADO.FERNANDE-F0D8EE\Mis documentos\Mis descargas\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.ve
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS2\system32\userinit.exe
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Archivos de programa\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\megauploadtoolbar.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Archivos de programa\Megaupload\Mega Manager\MegaIEMn.dll
O2 - BHO: TransactionProtector BHO - {C1656CCA-D2EA-4A32-94AE-AE0B180E6449} - (no file)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Transaction Protector - {E7620C98-FCCC-40E5-92EC-C7685D2E1E40} - (no file)
O3 - Toolbar: QT TabBar - {d2bf470e-ed1c-487f-a333-2bd8835eb6ce} - mscoree.dll (file missing)
O3 - Toolbar: QT Tab Standard Buttons - {D2BF470E-ED1C-487F-A666-2BD8835EB6CE} - mscoree.dll (file missing)
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\megauploadtoolbar.dll
O4 - HKLM\..\Run: [UfSeAgnt.exe] "C:\Archivos de programa\Trend Micro\Internet Security\UfSeAgnt.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [StartCCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [OE] "C:\Archivos de programa\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS2\system32\ctfmon.exe
O4 - HKCU\..\Run: [ViOrb] C:\WINDOWS2\resources\Themes\ViOrb\ViOrb.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS2\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS2\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS2\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS2\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: .lnk = ?
O4 - Startup: Hare.lnk = C:\Archivos de programa\Dachshund Software\Hare\Hare.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Traducir la página con Google - C:\Documents and Settings\IMVITADO.FERNANDE-F0D8EE\Datos de programa\TuneUp Software\TuneUp Utilities\Web\gtranslate.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Flash Decompiler SWF Capture tool - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\WINDOWS2\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Flash Decompiler SWF Capture tool menu - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\WINDOWS2\system32\shdocvw.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\WINDOWS2\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS2\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS2\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows2\system32\nwprovau.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-fab28582b51f0efc.spaces.live.com/PhotoUpload/MsnPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FBCD2D0D-2BF3-473D-8A06-FF00BF368531}: NameServer = 192.168.1.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS2\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS2\system32\ati2sgag.exe
O23 - Service: BCL easyPDF SDK 5 Loader (bepldr) - Unknown owner - C:\Archivos de programa\Archivos comunes\BCL Technologies\NitroPDF5\bepldr.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Lookout Citadel Server (LkCitadelServer) - National Instruments, Inc. - C:\WINDOWS2\system32\lkcitdl.exe
O23 - Service: National Instruments PSP Server Locator (lkClassAds) - National Instruments, Inc. - C:\WINDOWS2\system32\lkads.exe
O23 - Service: National Instruments Time Synchronization (lkTimeSync) - National Instruments, Inc. - C:\WINDOWS2\system32\lktsrv.exe
O23 - Service: National Instruments Domain Service (NIDomainService) - National Instruments, Inc. - C:\Archivos de programa\National Instruments\Shared\Security\nidmsrv.exe
O23 - Service: NILM License Manager - Macrovision Corporation - C:\Archivos de programa\National Instruments\Shared\License Manager\Bin\lmgrd.exe
O23 - Service: NI Service Locator (niSvcLoc) - National Instruments Corp. - C:\WINDOWS2\system32\nisvcloc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS2\system32\IoctlSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS2\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Trend Micro Central Control Component (SfCtlCom) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\Internet Security\SfCtlCom.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS2\System32\PAStiSvc.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\BM\TMBMSRV.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\ARCHIV~1\Trend Micro\Internet Security\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\Internet Security\TmProxy.exe

--
End of file - 11448 bytes
Espero q puedan darme respuesta pronto. GRACIAS

Como para aportar, a mi me pasó lo mismo y lo solucioné con un programita que se llama MSNFix, lo pueden encontrar en el Google. Se instala, le pedís que busque, cuando encuentra una amenaza, te pide que reinicies la máquina. Una vez reiniciado, termina de borrar al gunas cosas y listo, se acabó el problema. Por lo menos es lo que me pasó a mi...

Saludos cordiales

hola a todos... antes que nada aclaro que es la primera vez que estoy en un foro o algo asi
en fin...
las veces que tuve que lidiar con este tipo de virus, lo solucione desde el comando msconfig
y despues veia cuales eran los programas que estaban cuando iniciaba windows,
de ahi me fijaba cual estaba demas(o sea el virus), y me veia en que ubicacion estaba ubicado
x lo general se ubican en C:\Documents and Settings\(el nombre de usuario que corresponda)\Configuración local\Temp,
tambien en los c:\windows\temp...
fijense x lo general ese tipo de virus tienen nombres como x ejemplo: 87,37 o algun otro numero asi como tambien tiene doble extension..

bueno espero que les haya servido....

Saludozzzzzz para todozzzz

Hola gente, he aqui la solución al problema de este troyano que invadió latinoamérica en muchas versiones diferentes, y la muestra de que NOD32 es un PESIMO ANTIVIRUS como siempre lo he dicho.
Solución? MUY FACIL:

1º) Desinstalar esa cosa que se hace llamar antivirus y que en ela lista de programas figura como NOD32; no hacen falta herramientas de remoción especiales, ni nada por el estilo para sacar este bicho, sino un buen antivirus.
2º) Entre las variantes gratuitas que remueven este troyano, solamente vamos a encontrar a AVG 7.5 FREE EDITION y AVIRA PERSONAL, y BITDEFENDER, aunque este, como siempre digo, no posee protección residente así que no lo cuentes como variante para tener un antivirus funcional; AVAST tampoco detecta este problema del Messenger. Así que instalamos o AVG o AVIRA.
3º) Actualizamos el antivirus que hayamos instalado (yo personalmente recomiendo AVIRA)
4º) Hacemos un escaneo manual, nos va a detectar uno o más archivos, dependiendo de la cantidad de veces que nos hayamos infectado; eliminamos todos los archivos marcados como infectados y LISTO! Nuestro sistema respirará aire puro. ESTA SOLUCIÓN ES PROBADA YA DECENAS DE VECES, Y ESTA MISMA TARDE TENGO 3 PCS PARA LIMPIAR CON ESTE PROBLEMA.

Existe en la Web este software llamado MSNCLeaner que es muy bueno, les recomiendo para aquellos que no conocen mucho de este ahi va alguito:
La propagación de malwares mediante programas de mensajería instantánea como Msn Messenger, cada día toma más fuerza.

Como en la mayoría de los casos, se engaña al usuario para que descargue un archivo, haciéndole creer algo contrario a su verdadero fin, el cual es introducir en el sistema el archivo nocivo, a esto se le conoce como Ingenieria Social.

Una vez que el archivo es ejecutado, el malware busca la lista de contactos de Msn Messenger que el usuario tiene en el sistema, para enviar el mismo mensaje o similar a los contactos que estén conectados en ese momento. El contacto, si no esta debidamente informado leerá el mensaje y descargara el archivo nocivo, ya que es de parte de uno de sus contactos, por ende, da por sentado de que es seguro

También hay malwares, que si bien, no se propongan por Msn Messenger igual lo utilizan para hacer spam, espiar, etc

¿Como Prevenir?

Cuando recibas un mensaje repentino de uno de tu contactos, el cual invite a descargar un archivo, inmediatamente pregunte al contacto si el envió el archivo, si su respuesta es NO, no descargue el archivo e informe al contacto que probablemente tenga un malware, para que revise el sistema con las herramientas específicas que mencione anteriormente

Pasos para utilizar MsnCleaner y lograr un óptimo resultado

1.- Descargar el programa MsnCleaner 1.0.9.exe, lo puede descargar al final del tema
2.- Reiniciar el sistema en Modo a Prueba de Fallos
3.- Utilizar el programa MsnCleaner 1.0.9.exe (Ultima Versión)
[*]Descomprimir el archivo MsnCleaner 1.0.9.zip
[*]Ejecutar el archivo[/color] MsnCleaner 1.0.9.exe
[*]Hacer Clic en el botón[ Analizar, Si se detecta algún archivo nocivo, se activará el botón Eliminar
[*]Seleccionar las opciones "Eliminar archivos temporales" y "Restaurar el archivo Hosts"
[*]Hacer Clic en el botón Eliminar
4.- Utilizar el programa "CCleaner"
[*]Primero Ejecutar la opción "Limpiador" para eliminar cookies, archivos temporales, etc. Luego utilizar la opción de "Registro" para limpiar el registro de Windows (Recuerde hacer una copia de seguridad)
5.- Reinicie en modo normal.
http://rapidshare.com/files/101087518/Utilidades_Necesarias.rar

Suerte muchachos

Hola a todos esto esta referido al famoso virus RAR O ZIP (el de la foto) porque el de la foto? Porque tu estas conectado y recibes un mensaje de tu contacto (el cual nunca te envio nada) que por lo general dice: HOLA CHEKIA ESTA FOTO DE MI AUTO NUEVO!! o MIRA A ESTA CHICA DESNUDA QUE CONOCI (y sarta de bol..... mas). y adjunto al mensaje un archivo 124_FOTO.RAR (o zip) o FOTO_124.RAR, Bueno este virus se oculta en C:\WINDOWS\system32, con el buscador de windows poner *.zip o *.rar y buscar en system32, una vez que lo encuentren boton derecho eliminar y listo.(te daras cuenta porque el virus usa como nombre numeros y la palabra foto)
Ojo no intentar abrir el archivo. por lo que tengo entendido es que cuando lo ejecutas te va eliminando archivos del sistema a tal punto que tu pc no arrancara mas se pondra la pantalla en azul y te dira que el equipo se apago para evitar problemas mayores y tendras que reinstalar el sistema op.
Espero que les sirba

Hola amigos, les cuento que se trata de un virus, probe con mas de 10 antivirus, el unico que lo elimina es el kaspersky, bajate una version de prueba y hacela corre, elimina el bicho y listo.
Te digo una de prueba por que es muy dificil conseguir llaves (equivale al serial) que funcionen, solo que la compres.
Suerte.

Por empezar queda claro que no es más que un virus como era el de Bush (del que hablaba hace un tiempo). Esta vez llega diciendo algo más o menos así:

Hola

espero q te gusten las fotos ;

me las hice ayer y

(acá aparece para aceptar el archivo "fotos_posse.zip")

O en algunos cambia a "ey mira te mando unas fotos que me hice ayer".

El asunto es que al ser el que "sabe de computadoras", varios me estuvieron preguntando en éstos días cómo se borra el maldito bicho.

TIENES QUE IR INICIO–>TODOS LOS PROGRAMAS–>ACCESORIOS–>HERRAMIENTAS DEL SISTEMA–>RESTAURAR SISTEMA

AHI TIENES QUE RESTAURAR TU SISTEMA A UN FECHA ANTERIOR A QUE EL VIRUS ENTRE A TU PC.

ESTO SIGNIFICA QUE VUELVE TODO ATRAS

TODOS LO QUE ENTRÓ DESPUES DE LA FECHA QUE ESCOGISTE, DESAPARECE

OJO! NO TE ASUSTES! NO SE TE BORRAN TUS ARCHIVOS,SON SOLO PAVADAS,PERO ESTE VIRUS DESAPARECE -esta es mi web aca explico como sacar este virus http://johnm.es.tl/elimina-el-virus-de-la-foto-del-msn.htm[/img]

Cogote, no es cierto que el único antivirus que lo elimina sea el Kaspersky. También lo eliminan el AVG en todas sus versiones, el Avira en todas sus versiones, y el Bitdefender en todas sus versiones, así como el Trendmicro.
Si no has podido eliminarlo con estos antivirus, no sé bien qué es lo que has hecho, porque yo, por ejemplo, con el AVG y el AVIRA lo he sacado de decenas de computadoras.
Tampoco es un troyano como para darle tanta importancia, no es muy complicado de sacar, a menos que tengas NOD32 como antivirus.
Por otra parte quiero dejar en claro un par de cosas: primero, que cada antivirus que detecta esta infección lo hace con un nombre diferente para el virus; segundo, que la infección llega a través de una docena de variantes de mensajes con adjuntos, a veces en inglés y a veces en español. Alguien me comentó de algún caso en portugués, pero no lo he podido comprobar personalmente. Saludos y suerte.

bueno, yo no soy un experto, tampoco soy de los peores, pero la verdad es yo opte por no tener antivirus andando, solo tengo un Firewall que en verdad es muy bueno, y un antivirus que lo arranco cuando creo que todo se pudrió, pero, en el caso que no me resulte... FORMATEO, así que mi consejo sería que formatees el winchot y lo vuelvo a instalar, San Se-acabó.
Eso solo si tenés el disco separardo, si no empezá a hacer copias de tus cosas.

Suerte

Mira al parecer es un virus con arigen en la hermana republica de argentina y esta circulando con el nombre de Foto.zip bueno aunque escanes tu compu nocreo que lo detecte a tenido varias compus con ese problema y ninguna tiene un antivirus efectivo a esta virulento programa y no ahy na mas efectivo que ir ala raiz del problema el comprimido instala en el ordenador archivos como 82.exe, 52.exe, 40.exe y asi pueden variar segun el ordenador(checalo en prosesos de admin de tareas) pero la mayoria son "Numeros".exe y se alojan el los archivos temporales de internet asi que como estan en activos al borrar los mismos o ejecutar CCleaner no se borraran y el antivirus no lo detectara por lo que recomiendo inciar de modo seguro, ir a la carpeta renombrar los archivos como *.txt y reiniciar el programa esto lo haras 2 ocaciones ya que se ejecutara un autorecuperacion de los archivos malignos pero una vez realiado esto el archivo jamas se volvera a instalar a menos que lo descarges de una platica por el messenger. los archivos *.txt si es posible desifralos o descompilalos y estudialos y descubriras algo muy interesante. saludos y espero les sea util.

"El Hombre que carese de vicios , carese de virtudes"

NO sé por qué estamos haciendo mitología sobre este tema. Pasen el AVG y se acabó. El que diga que no lo detecta, es porque no lo intentó.
Saludos!!

Hola que tal, quisiera encontrar la solucion a este problema que creo es el mismo al que tuvo la primera persona que escribio en el foro. Te dejo aca lo que me salio del Hijackthis y te agradeceria mucho que me dijeras cual es el problema y que es lo que debo eliminar.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:23:36 p.m., on 10/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe
C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\ARCHIV~1\SYMANT~1\VPTray.exe
C:\DOCUME~1\Fabian\CONFIG~1\Temp\31.exe
C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Fabian\Escritorio\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ar.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SoundMax] "C:\Archivos de programa\Analog Devices\SoundMAX\SMax4.exe" /tray
O4 - HKLM\..\Run: [MSN Router] msnrouter.exe
O4 - HKLM\..\Run: [NvGraphicsInterface] C:\DOCUME~1\Fabian\CONFIG~1\Temp\31.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [CHIN PING PHONE PILE] C:\Documents and Settings\All Users\Datos de programa\Proxy Long Chin Ping\Gpl Thunk.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Archivos de programa\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [hold lies] C:\DOCUME~1\Fabian\DATOSD~1\ARMYWIPE\BoneWait.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Herramienta de búsqueda de soportes de Cyber-shot Viewer.lnk = C:\Archivos de programa\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Startup: MutiKeyboard Driver.lnk = C:\Archivos de programa\MultiKeyboard Driver\KbdDrv.exe
O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversFWBInitialSetup1.0.0.15-3.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://cristilavecina.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158118047578
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cristilavecina.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool - http://67.15.101.3/g_bin/eng/billard8_2_0_0_29.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A57A7CF-D238-4057-AF1D-CB5039760E62}: NameServer = 85.255.114.107 85.255.112.133
O17 - HKLM\System\CCS\Services\Tcpip\..\{C6188422-92A6-467D-8E90-833332558205}: NameServer = 85.255.114.107,85.255.112.133
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.107 85.255.112.133
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.107 85.255.112.133
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.107 85.255.112.133
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpdj00 - Unknown owner - C:\DOCUME~1\Fabian\CONFIG~1\Temp\hpdj00.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Archivos de programa\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe
O24 - Desktop Component 0: (no name) - http://www.disneylatino.com/regalodelasemana/El_Rey_Leon/wallpapers/wp1_1024x768.jpg?param=1

--
End of file - 10143 bytes

Aca te dejo el nombre del virus por si te sirve de algo Backdoor.IRC.Bot , y aprovecho para preguntarte tambien si es posible que la maqina se reinicie sola por culpa de esto. Desde ya muchisimas gracias!!!
Cristina.

Ramosrafael, me parece que esto no es mitología, es un problema típico del windows y cualquier antivirus que le pases, no digo que el AVG se malo, pero no es la solución definitiva, hay veces en las que fallan 3 antivirus de distintas marcas, como le pasó a un amigo (uso el AVG, NOD32 y no me acuerdo que otro), la única solución se le dió al pasar el antispyware... no me acuerdo como se llama pero otro usuario ya lo recomendó antes... algo como Search n Destroy (corrijanmé).
Como ya les dije, primero un Firewall (a mi me funciona muuuuuy bien el Pc Tool Firewall Plus que es gratis), segundo un antivirus (queda a elección) y tercero un Antispyware (creo que el ya nombrado es muuuy efectivo),
y en caso de que tooooooodo eso no "funque", se pone un CD de XP, formateamos y reinstalamos.

"Tempus Fugit"

Estimados:
Soy nuevo en este foro. Les recomiendo para chequear el Messenger las siguientes herramientas:
MSN Checker Sniffer
MSN Monitor & Sniffer
Se puede instalar uno u otro, no los 2 a la vez.
Poniendo en el buscador del google o cualquier otro para buscar MSN Sniffer, lo podemos bajar en forma gratuita.
Sino en el adjunto les envio el programa.
Luego de instalar hay q rebootear la PC.
Espero que les sirva.
Sdos.
Eduardo

Hace un par de meses me ocurrio lo mismo del mentado virus de msn que se autoenvia a tus contactos, prove con NOD, con Kaspersky, obviamente Norton no por que no sirve, pero ninguno de los que te comente me lo quitaron, tampoco los analisis online ayudaron, finalmente prove AVG free http://free.grisoft.com/ que es una versión gratuita de este antivirus, fue el unico que me libero de esos problemas. Saludos.

Hola a todos, yo tambien he tenido el mismo problema con el virus en el msn, este virus en realidad es un troyano que se ejecuta con el inicio de windows y una vez que abrimos el messenger comienza a visitar a tus contactos.. yo lo solucione con dos cosas panda 2008 bien actualizado y con un programita que se llama clear msn. saludos