virus que no puedo eliminar con NOD32

HOLA AMIGO. UNA VEZ MAS ACUDO A USTEDES PUESTO QUE TENGO UN PROBLEMA CON UN VIRUS QUE SE COLO EN MI PC Y EL NOD 32 NO ME LO ELIMINA.
ES UN GUSANO QUE EL ANTIVIRUS IDENTIFICA COMOC:\WINDOWS\system32\cftmom.exe »AUTOIT »script.au3 - Probablemente una variante modificada de (Gusano de Internet) Win32/Autoit.CV.. CUANDO HAGO EL SCANNER Y LO IDENTIFICA NO SE HABILITAN LAS OPCIONES QUE NORMALMENTE EL NOD32 OFRECE (ELIMINAR-DESINFECTAR-COPIAR A CUARENTENA- O CAMBIAR NOMBRE)
QUISIERA SABER QUE HAGO PARA ELIMINARLO. MI SISTEMA OPERATIVO ES WINDOWS XP.
ES UN GUSANO PELIGROSO?
POR FAVOR AMIGOS LES AGRADEZCO SU RESPUESTA. DE ANTEMANO GRACIAS

No escribas en mayusculas en los foros es gritar.

Si te da la opcion desinfectar, si no eliminar

daniel zanella escribió:No escribas en mayusculas en los foros es gritar.

Si te da la opcion desinfectar, si no eliminar

Hola Daniel. Disculpa lo de las mayúsculas. Pero te digo que las opciones de eliminar o desinfectar no aparecen habilitadas. Sólo aparece "sin acciones". Es todo. ¿Tendré que formatear el disco duro?

daniel zanella escribió:No escribas en mayusculas en los foros es gritar.

Si te da la opcion desinfectar, si no eliminar

Hola Daniel. Disculpa lo de las mayúsculas. Pero te digo que las opciones de eliminar o desinfectar no aparecen habilitadas. Sólo aparece "sin acciones". Es todo. ¿Tendré que formatear el disco duro?

Bajate el SuperAntiSpyware, instalalo y actualizalo. Desactiva Restaurar Sistema, reinicia, entra en Modo Seguro, pasalo y listo. Usalo como complemento del NOD

Si tenes dudas de Restaurar Sistema y Modo Seguro fijate aca

daniel zanella escribió:Bajate el SuperAntiSpyware, instalalo y actualizalo. Desactiva Restaurar Sistema, reinicia, entra en Modo Seguro, pasalo y listo. Usalo como complemento del NOD

Si tenes dudas de Restaurar Sistema y Modo Seguro fijate aca

Hola Daniel. Seguí tus instrucciones, pero no funcionó. Te comento que al pasar el NOD32 en modo seguro no detectó el gusano, pero al reiniciar el computador en modo normal y pasar el antivirus, el gusano volvió a aparecer. El superAntiSpyware en modo seguro detectò 34 infecciones que el otro antyspyware que tengo instalado en el PC , el Ad-Aware SE Professional, pasó por alto.
Como dato adicional, cuando le di clic derecho en mi pc, para ir a propiedades y desactivar Restaurar Sistema, me encontré que esta opcioón no la tengo en el sistema operativo, el cual es Windows XP profesional, version 2002, Service Pack 2. ¿ Qué puedo hacer?

Bajate el Reg Unlocker
http://codehard.wordpress.com/2007/11/03/regunlocker-192-beta-2/

Marca Eliminar restricciones del Sistema y Reparar Servicio de Restaurar Sistema y dale unlock.

Despues hace de nuevo lo del post anterior

daniel zanella escribió:Bajate el Reg Unlocker
http://codehard.wordpress.com/2007/11/03/regunlocker-192-beta-2/

Marca Eliminar restricciones del Sistema y Reparar Servicio de Restaurar Sistema y dale unlock.

Despues hace de nuevo lo del post anterior

Daniel, hice lo que me pediste pero no funcionó. El regunlocker funcionó e hice lo del post anterior pero no he podido eliminar ese virus. Como último recurso y abusando de tu generosidad te envío el log de HijackThis esperando que tu descubras lo que está mal . Una vez más gracias por tu invaluable ayuda.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:02:19, on 25/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\Spyware Doctor\pctsAuxs.exe
C:\Archivos de programa\Spyware Doctor\pctsSvc.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe
C:\Archivos de programa\Spyware Doctor\pctsTray.exe
C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe
D:\NO TOCAR\ENCARTA 2007\Encarta 2007 Biblioteca Premium DVD\EDICT.EXE
C:\Archivos de programa\Ares\Ares.exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\GHCSOY4Q\HiJackThis[1].exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.busca7.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://es.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://es.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Archivos de programa\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [E07EXLRD_3075453] "D:\NO TOCAR\ENCARTA 2007\Encarta 2007 Biblioteca Premium DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZN
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Archivos de programa\Yahoo!\Common\Yinsthelper200711281.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-9919254587fce7fd.spaces.live.com/PhotoUpload/MsnPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2152B066-3D4B-420F-B0AA-2AD09F6DF02B}: NameServer = 200.89.96.4,200.89.112.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{2152B066-3D4B-420F-B0AA-2AD09F6DF02B}: NameServer = 200.89.96.4,200.89.112.2
O17 - HKLM\System\CS2\Services\Tcpip\..\{2152B066-3D4B-420F-B0AA-2AD09F6DF02B}: NameServer = 200.89.96.4,200.89.112.2
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~1\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsSvc.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

--
End of file - 9816 bytes

Quen raro no lo volo el SAS
Siempre deja Restaurar Sistema desactivado (verifica que este asi el reiniciar)

Bajate el Killbox, entra en modo seguro y borra
C:\WINDOWS\system32\cftmom.exe

Despues marca y dale fix a:

O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Archivos de programa\Yahoo!\Common\Yinsthelper200711281.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{2152B066-3D4B-420F-B0AA-2AD09F6DF02B}: NameServer = 200.89.96.4,200.89.112.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{2152B066-3D4B-420F-B0AA-2AD09F6DF02B}: NameServer = 200.89.96.4,200.89.112.2
O17 - HKLM\System\CS2\Services\Tcpip\..\{2152B066-3D4B-420F-B0AA-2AD09F6DF02B}: NameServer = 200.89.96.4,200.89.112.2
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

Despues reinicia, pone el CD de XP y hace inicio, ejecutar y pone sfc /scannow

Bajate el CCleaner y pasa Limpiador y Registro hasta que tire limpio

Por ultimo bajate el Kaspersy, actualizalo y verica que no haya quedado ningun rastro del virus

Daniel, un millón de gracias. Por fin puede eliminar el virus. Seguí tus instrucciones y el virus desapareció. Pasé el antivirus y el CCleaner y no queda rastro de él. Una vez más gracias. Lo que haces en este foro no tiene comparación. Sigan adelante. Son una gran ayuda para personas que como yo, no tenemos muchos conocimientos de sistemas.

Gracias.