accidentalmente ejecute un supuesto protector de pantalla que recibi por el messenger mientras no estaba. Resulta que no era un protector de pantalla sino un tremendo virus que apenas ejecutado comenzo a expandirse de a poco, no se ke hace exactamente pero mientra estaba conectado empezo a enviarse a si mismo a todos mis contactos, por suerte nadie lo acepto porque alcance a advertirles y me desconecte rapidamente.
comence a buscarlo y encontre archivos con nombres parecidos al que recibi, estaban comprimidos en zip en la carpeta WINDOWS, el archivo se llamaba: "photo_album85.zip", al poo tiempo encontre mas que se iban sumando, estos eran: "photos2007_19.zip", "image050.zip", "photos2007_4.zip"
Luego aparecio este: "retadpu420.exe" y un documento de texto
Ademas de una carpeta, que sin importar cuantas veces lo eliminaba en el modo a prueba de errores (porque sino, no me dejaba hacerlo) cada vez que reiniciaba la carpeta volvia a aparecer, esta se llama: "msagent" que contiene a "intl" (esta no se puede eliminar porque dice que alguien lo esta usando)
En el msagent antes de eliminar unos archivos que ahora mencionare, aparecieron un monton de archivos, entre ellos uno que tenia un icono como de espia tipico.
Usando la busqueda rastree el archivo "retadpu420.exe" (que se ejecutaba al iniciar sesion, lo vi ejecutando el msconfig, a pesar de que lo quite parece que se sigue ejecutando, y la carpeta msagent se sigue creando al iniciar) este archivo estaba junto con otro que no recuerdo en la carpeta D:/WINDOWS/Prefetch
borre todo lo que pude, pero se sigue ejecutando el virus, mi antivirus no lo detecta, ni el SpyBot, no se que hacer, aqui les dejo el log a ver si encuentran algo, o si saben que puedo hacer con esto
Logfile of HijackThis v1.99.1
Scan saved at 02:38:25 p.m., on 31/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
D:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
D:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
D:\WINDOWS\system32\HPZipm12.exe
D:\WINDOWS\system32\PSIService.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\sistray.EXE
D:\ARCHIV~1\Grisoft\AVG7\avgcc.exe
D:\WINDOWS\system32\wuauclt.exe
C:\Programas\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SiSUSBRG] D:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS Tray] D:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [AVG7_CC] D:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [swg] D:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) -
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O21 - SSODL: printers - {5667C23C-C68B-452E-BF5F-6104DD3FE1E5} - libcintle2.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - D:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - D:\Archivos de programa\Ares\chatServer.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - D:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Power Manager (PowerManager) - Unknown owner - D:\WINDOWS\svchost.exe (file missing)
O23 - Service: ProtexisLicensing - Unknown owner - D:\WINDOWS\system32\PSIService.exe
msc hotline sat Virus Research Engineer