Tema: Infección MailSkinner.rtkm, como eliminarlo? FALSO POSITIVO, SOLUCIONADO!

[BATWB]

Hola buenas,
desdel dia de hoy el Spybot me detecta una infección del supuesto troyano MailSkinner.rtk con 4 entradas en el registro. El caso es que me lo elimina pero cada vez que reinicio la maquina se vuelve a cargar. La info que me da el Spybot es la que sigue:
Empresa:
Producto: MailSkinner.rtk
Amenaza: Trojan

Funcionalidad
Supuesto para ser smiles adicionales para Microsoft Outlook

Descripción
MailSkinner.rtk es similar a MessengerSkinner.rtk, instala los mismos archivos que quedan ocultos por la funcionabilidad del rootkit.



HKLM\Software\Clases\OutlookAddinAddin1
HKLM\Software\Clases\OutlookAddinAddin
HKLM\SOFTWARE\Microsoft\Office\Outlook\Addins\OutlookAddinAddin
HKLM\Siftware\Clases\CLSID\(NUM-NUM-NUM-NUM-NUM)

Buscando por internet he podido leer, en otro foro, que curiosamente hay gente que le pasa lo mismo y ha empezado esta semana. Comentan que todos los afectado coinciden en que, como yo, tienen el Kaspersky instalado y no saben si tendrá algo que ver. También comenta que el Spybot lo detecta desde su actualización del dia 26/09/2007. Podria tratarse de un falso positivo de Spybot?

Aquí pego un log del Hijackthis para ver si algun maestro me encuentra la tecla/as que debo apretar para borrarlo del mapa del mi pc:
Logfile of HijackThis v1.99.1
Scan saved at 0:09:17, on 05/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\WINDOWS\system32\ctfmon.exe
c:\archivos de programa\a-squared free\a2service.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
D:\LAD\SEGURETAT\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O4 - HKLM\..\Run: [kis] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Add to Kaspersky Anti-Banner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\SHDOCVW.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\SHDOCVW.dll
O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101920745845
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4952/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{35DB69F1-8B77-40F7-BF0C-F6A7B96F85F9}: NameServer = 194.179.1.100,194.179.1.101
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A157816-4A4F-496C-AF72-BCBDE9036576}: NameServer = 62.151.2.8,62.151.8.100
O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL
O20 - Winlogon Notify: 4C - C:\WINDOWS\
O20 - Winlogon Notify: klogon - C:\WINDOWS\
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\archivos de programa\a-squared free\a2service.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

PD He de dejar constancia que el Restaurar Sistema está desactivado y que otros programas como el AD-aware, AVG y Superantispyware NO detectan nada.

Salu2 y gracias 

[BATWB]

He estado mirando el tema y pienso que la siguiente información puede ayudar:

1 En modo seguro no se cargan las entradas en el registro, porque? podria ser porque no se carga tampoco el Kaspersky y lo digo por el siguiente punto.

2 En dos de las entradas citadas encuentro archivos en el registro referentes a Kaspersky:
- HKLM\Siftware\Clases\CLSID\(NUM-NUM-NUM-NUM-NUM) sale un ab REG_SZ C:Archivos de programa\kasperskyLab\Kaspersky Internet Security 6.0\mcou antispam.dll
- HKLM\Software\Clases\OutlookAddinAddin sale un Friendlyname REG_SZ Kaspersky antispam Outlook Addin

Podria tratarse de un conflicto entre Kaspersky y Spybot?

Salu2 

[BATWB]

Tres dias y sin respuestas, estaran de vacaciones los maestros?

Si es así espero que no os queden muchos dias pero que os lo esteis pasando teta 

[Liamngls]

En los foros oficiales tratan el tema y pinta como falso positivo ...

http://forum.kaspersky.com/lofiversion/index.php/t49084.html
http://forums.spybot.info/showthread.php?t=18479
http://forums.spybot.info/showthread.php?p=123517

[BATWB]

Gracias por tu respuesta Liamngls,
ya me lo parecia, como indicaba en mi anterior post, pero después de leer los foros que me indicas me he quedado mucho mas tranquilo sabiendo que es un FALSO POSITIVO.
Muchas gracias por tu tiempo y salu2