Virus en el MSN Messenger

Hola como van amigos....? tengo un pequeño problema con un virusillu llamado "foto.exe" y me ha causado muchos problemas debido a que cuando inicio sesion en msn manda infinidades de mensaje a mis contactos con el mensaje "acepta mis fotos en la playa" con un archivo adjunto donde esta el virus ..... en fin resulta que no a habido poder humano que me lo elimine y decidi eliminarlo manualmente mediante su ubicacion en el regedit y funciono pero pasa que ahora sigue apareciendo el mensaje anterior de las fotos solo que sin ellas es decir ya no transmite el virus a las otras pc pero como demonios hago para quitar ese molesto mensaje que sigue apareciendo sin nesecidad de formatear otra vez....? no se si me hice entender... gracias cualquier respuesta.....

Vamos a eliminarlo todo remanente de raíz para eso te pido que ejecutes esta herramienta, hace clic en Do a System scan and save a logfile; cuando genere el informe, pegalo o subilo a la pagina así te digo que eliminar para deshacerte del problema, esto no tarda mas de un minuto y no hace falta instalarlo.
Hijack
http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

Si tenes una duda de como usar esta herramienta hace clik en mi firma

hola bueno este es el reporte de hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:02:20, on 08/07/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Archivos de programa\FlashGet\FlashGet.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\uTorrent\uTorrent.exe
C:\Archivos de programa\Ares\Ares.exe
C:\Windows\Temp\RtkBtMnt.exe
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\VMware\VMware Workstation\vmware-authd.exe
C:\Archivos de programa\Archivos comunes\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
C:\Archivos de programa\VMware\VMware Workstation\vmware-tray.exe
C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Windows Media Player\wmplayer.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Archivos de programa\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Archivos de programa\FlashGet\getflash.dll
O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Archivos de programa\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Flashget] C:\Archivos de programa\FlashGet\FlashGet.exe /min
O4 - HKLM\..\Run: [vmware-tray] C:\Archivos de programa\VMware\VMware Workstation\vmware-tray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [uTorrent] "C:\Archivos de programa\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [L08EXLRD_5340000] "C:\Archivos de programa\Microsoft Student\Microsoft Student con Encarta Premium 2008 DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: &Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: &Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B4E480C-DF10-4568-BA82-C7944B1AC6C9}: NameServer = 200.21.200.10,200.21.200.80
O17 - HKLM\System\CCS\Services\Tcpip\..\{C91B0B7A-5304-463A-9010-FF870A1888EA}: NameServer = 200.21.200.10,200.21.200.80
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD4E26D6-6767-4C4D-8E9B-923EE812A6B5}: NameServer = 200.21.200.80,200.21.200.10
O17 - HKLM\System\CS1\Services\Tcpip\..\{1B4E480C-DF10-4568-BA82-C7944B1AC6C9}: NameServer = 200.21.200.10,200.21.200.80
O17 - HKLM\System\CS2\Services\Tcpip\..\{1B4E480C-DF10-4568-BA82-C7944B1AC6C9}: NameServer = 200.21.200.10,200.21.200.80
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Archivos de programa\VMware\VMware Workstation\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Archivos de programa\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Archivos de programa\Archivos comunes\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

--
End of file - 8067 bytes

Bueno te comento que mucho no encontré pero si podemos hacer un par de cosas.
Primero deshabilita la opción Restaurar Sistema y después inicia la pc en Modo Seguro (condiciones fundamentales).
Cuando estés en modo seguro volvé a ejecutar el HijackThis, selecciona las siguientes entradas y dale a FIX:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Para asegurarnos de que no haya quedado nada ejecuta tu antivirus actualizado (aun en modo seguro). ** NOTA: Te recomiendo que cambies el Nod32 (ya que desde mi punto de vista no es de los mejores) así que para tener una buena protección seria bueno que instales el Kaspersky Internet Security 7, Trend Micro Internet Security 2007 o 2008.
Cuando termines el escaneo ejecuta el Ccleaner, tanto para limpieza de disco como de registro. Luego inicia la pc y fijate como anda eso.
Espero haberte ayudado, y si queres comentame como te fue.

Suerte



Si tenes una duda de como usar esta herramienta hace clik en mi firma

Bajate el avg antirookits para ver que nos dice y que encuentra,
Otra cosa, la condición fundamental que te indica el amigo: deshabilita la opción Restaurar Sistema y después inicia la pc en Modo Seguro, corre el antirookits, luego corre tu antivirus en modo seguro (?cuál usas?) luego pasa el ccleaner en sus dos modalidades...
ojo con el messenger... después te cuento...


suerte y recuerda valorar para seguir trabajando...

Ojo con el messenger......................lean esto:
Ya son muchos los casos de personas que han recibido correo ofreciendo como saber quien lo tiene bloqueado o quien lo eliminó como contacto. Las personas entregan la clave a esa página y después esta se encarga de enviar malaware a todos los que estén en la lista del correo que atraparon. Mucho cuidado, hay muchos casos, empiezan a llegar correos a sus amigos ofreciendoles lo mismo.

suerte.

Recuerda valorar para seguir trabajando...

hola gracias por el dato del msn lo tendre en cuenta, respecto a lo del antivirus tengo el nod 32, se que no es el mejor ...... cual me recomiendan ya que el kasperky ni hablar debido a que la mayoria de las keys estan en la blak list

Tengo el avg antivirus con el spybot y el spyware doctor, no dan conflicto.. el avg me ha detectado virus en los pendrives, que el avast y el nod no lo hacían... bueno tambièn puedes esperar las opiniones de otros...


suerte
recuerda valorar para seguir trabajando