Quiero eliminarlos sime82.exe, KesenjanganSosial.exe x favor

[a2003]

Que tal amigo, desde hace tiempo mi pc esta muy lenta, acabo de pasarle el nod32 y he encontre 165 virus, elimine algunos pero estos aun quedan, al igual que muchos spyware, y el adware mywebsearch, tampoco puedo ver opciones de carpeta, ni acceder a modificar el registro, ya intente los metodos en donde creo un archivo con el bloc de notas supuestamnete para volver a activar el registro pero nada, igual sale "el adminitrador ha deshabilitado la modificacion del registro". Tampoco puedo acceder a modo a prueba de fallos al presionar f8, espero me puedas ayudar, gracias.





Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 05:46:10 p.m., on 23/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\Explorer.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\algsrvs.exe

C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe"

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [IMJPMIG8.2] msime82.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe" /autocheck

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsServer] msfun80.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe



--

End of file - 4984 bytes

:(

[msc hotline sat]

Tienes dos bichos gordos:



http://www.bleepingcomputer.com/startups/KesenjanganSosial.exe-13910.html


[quote="al respecto Sophos"]


W32/Brontok-K is an email worm that sends itself to addresses gathered from the infected computer by searching files with the following extensions:



ASP, CFM, CSV, DOC, EML, HTML, PHP, TXT, WAB



W32/Brontok-K may also spread by copying itself to network shares.



When first run W32/Brontok-K copies itself to:



<User>\Local Settings\Application Data\br[Number1]on.exe

<User>\Local Settings\Application Data\csrss.exe

<User>\Local Settings\Application Data\inetinfo.exe

<User>\Local Settings\Application Data\lsass.exe

<User>\Local Settings\Application Data\services.exe

<User>\Local Settings\Application Data\smss.exe

<User>\Local Settings\Application Data\svchost.exe

<Windows>\KesenjanganSosial.exe

<Windows>\ShellNew\RakyatKelaparan.exe

<System>\cmd-brontok.exe



The following registry entries are created to runbr[Number1]on.exe and RakyatKelaparan.exe on startup:



HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Tok-Cirrhatus-[Number2]

<User>\Local Settings\Application Data\br[Number1]on.exe



(Where [Number1] and [Number2] are randomly generated values containing four numbers.)



HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Bron-Spizaetus

<Windows>\ShellNew\RakyatKelaparan.exe



The following registry entry is changed to run KesenjanganSosial.exe on startup:



HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell

Explorer.exe "<Windows>\KesenjanganSosial.exe"



(the default value for this registry entry is "Explorer.exe" which causes the Microsoft file <Windows>\Explorer.exe to be run on startup).



The following registry entry is set, disabling the registry editor (regedit):



HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System

DisableRegistryTools

1



Registry entries are set as follows:



HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

NoFolderOptions

1



HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System

DisableCMD

0



HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

Hidden

0



HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

HideFileExt

1



HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

ShowSuperHidden

0


[/quote]



y este otro:



Ver: http://www.bleepingcomputer.com/startups/msfun80.exe-16911.html


[quote="al respecto Sophos"]


W32/VB-CYG

Worm

Summary

Summary Description Recovery Advanced Prevalence: low high

Name W32/VB-CYG

Type Worm



Affected operating systems Windows



Side effects Installs itself in the Registry



Aliases WORM_VB.CAY



Protection Download virus identity (IDE) file



Protection available since 26 January 2007 23:58:41 (GMT)

Protection history Updated -8 March 2007 13:37:33 (GMT)

Updated -13 February 2007 12:59:18 (GMT)

Updated -9 February 2007 14:56:52 (GMT)

Updated -30 January 2007 06:25:29 (GMT)

Published -26 January 2007 23:58:41 (GMT)



Detected by All versions of Sophos Anti-Virus

Latest protection included in our products from May 2007 (4.17)

More information on IDE files What are IDE files?

How to use IDE files

Get the latest IDE files





Description

Summary Description Recovery Advanced This section helps you to understand how it behaves

W32/VB-CYG is a worm for the Windows platform.



W32/VB-CYG spreads via removable storage devices.



Recovery

Summary Description Recovery Advanced This section tells you how to remove the threat.

Please follow the instructions for removing worms.



Advanced

Summary Description Recovery Advanced This section contains the description and advanced technical information

W32/VB-CYG is a worm for the Windows platform.



W32/VB-CYG spreads via removable storage devices.



When first run W32/VB-CYG copies itself to \fun.xls.exe and creates the following files:



\autorun.inf

<Windows>\ufdata2000.log



These files can be deleted.



The worm may also create copies of itself as msime82.exe and msfun80.exe and create the following registry entries to run itself automatically on startup:



HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

IMJPMIG8.2

msime82.exe



HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

MsServer

msfun80.exe



The following registry entry is also set:



HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ SHOWALL

CheckedValue

0


[/quote]

Tu antivirus debería ser capaz de eliminarlos, pero ya que por lo visto no los detecta (pueden ser variantes desconocidas), prueba estas dos utilidades, a ver si detectan algo o piden envio de muestras para analizar:





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso