Hola amigos.

Soy nuevo en el foro y la verdad es que espero que me ayudeis porque estoy desesperado. He utilizado Windows 98 hasta ahora,sin antivirus ni nada, y todo me ha ido perfectamente. Pero ahora he cambiado a Windows XP Pro con SP2 y en una semana se me ha llenado todo de cosas "raras". Tengo el antivirus Kaspersky pero,aun asi, mi pc está lleno de malware y hace cosas extrañas(como abrir ventanas de publicidad de antivirus en Internet,cerrarme todas las ventanas,etc.). Aquí os dejo mi log:

Logfile of HijackThis v1.99.1
Scan saved at 20:37:53, on 24/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\System32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\Explorer.EXE
E:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
E:\WINDOWS\SOUNDMAN.EXE
E:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.EXE
E:\Archivos de programa\Winamp\winampa.exe
E:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
E:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
E:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
E:\Archivos de programa\MSN Messenger\msnmsgr.exe
E:\Archivos de programa\Internet Explorer\iexplore.exe
E:\Archivos de programa\WinRAR\WinRAR.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Documents and Settings\Usuario\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "E:\Archivos de programa\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [msupdates] msupdates.exe
O4 - HKLM\..\Run: [Win32] bwc.exe
O4 - HKLM\..\Run: [PrintDrive] rundll32.exe "E:\WINDOWS\System32\ufhlujge.dll",setvm
O4 - HKLM\..\Run: [Windows Service Agent] sewsis.exe
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Office Monitors] E:\WINDOWS\System32\GoogleUpdater.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [kis] "E:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\RunServices: [msupdates] msupdates.exe
O4 - HKLM\..\RunServices: [Win32] bwc.exe
O4 - HKLM\..\RunServices: [Windows Service Agent] sewsis.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Win32] bwc.exe
O4 - HKCU\..\Run: [Windows Service Agent] sewsis.exe
O4 - HKCU\..\Run: [Office Monitors] E:\WINDOWS\System32\GoogleUpdater.exe
O4 - Global Startup: DSLMON.lnk = E:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add to Kaspersky Anti-Banner - E:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://E:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1176731446765
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1176731433265
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F328DC6-50DC-4FC9-A4E9-3D450E0386EA}: NameServer = 62.36.225.150 62.37.228.20
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F328DC6-50DC-4FC9-A4E9-3D450E0386EA}: NameServer = 62.36.225.150 62.37.228.20
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "E:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: E:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - E:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - E:\WINDOWS\System32\wdfmgr.exe (file missing)

Espero que me ayudeis porque estoy bastante desesperado. Os doy las gracias desde ya.

Un saludo y espero vuestras respuestas.

Hola chaveita29400, te doy la bienvenida al Foro de InfoSpyware

Descarga CCleaner (http://www.forospyware.com/t39511.html) y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Descarga, actualiza y ejecuta
SUPERAntiSpyware


Realiza un escaneo online con "Panda ActiveScan Online" (http://www.forospyware.com/announcement.php?f=12) y nos dejas sus reportes en este mismo mensaje.

Salu2

Muchas gracias por contestar ElPiedra.

He realizado todo lo que me dijiste con un único problema: que cuando ejecuto Panda ActiveScan se me queda colgado cuando va llegando al final. Si te sirve de algo, no me había detectado nada durante el análisis. Así que no te puedo poner aquí los reportes :s

Ahora el ordenador me va más rápido (sobre todo Interet) y no se si se me habrá borrado el Malware con tu ayuda porque aun no le ha dado tiempo de salir a las ventanas emergentes "raras", ya que he realizado las operaciones hace poco. De todas formas te dejo aquí el los de Hijackthis despues de pasar éstas herramientas.

Logfile of HijackThis v1.99.1
Scan saved at 21:16:02, on 26/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\System32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\SOUNDMAN.EXE
E:\Archivos de programa\Winamp\winampa.exe
E:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.EXE
E:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
E:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
E:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
E:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
E:\Archivos de programa\MSN Messenger\msnmsgr.exe
E:\WINDOWS\System32\svchost.exe
E:\Documents and Settings\Usuario\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2354A369-FB71-4D46-AE6D-701001F6D987} - (no file)
O2 - BHO: (no name) - {A6D6A635-6F18-4D16-A6D1-F62CDC039482} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "E:\Archivos de programa\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [msupdates] msupdates.exe
O4 - HKLM\..\Run: [Win32] bwc.exe
O4 - HKLM\..\Run: [Windows Service Agent] sewsis.exe
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [kis] "E:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\RunServices: [msupdates] msupdates.exe
O4 - HKLM\..\RunServices: [Win32] bwc.exe
O4 - HKLM\..\RunServices: [Windows Service Agent] sewsis.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Win32] bwc.exe
O4 - HKCU\..\Run: [Windows Service Agent] sewsis.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] E:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: DSLMON.lnk = E:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = E:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add to Kaspersky Anti-Banner - E:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://E:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - E:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1176731446765
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1176731433265
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F328DC6-50DC-4FC9-A4E9-3D450E0386EA}: NameServer = 62.36.225.150 62.37.228.20
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F328DC6-50DC-4FC9-A4E9-3D450E0386EA}: NameServer = 62.36.225.150 62.37.228.20
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "E:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: E:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: !SASWinLogon - E:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: gebxxvu - gebxxvu.dll (file missing)
O20 - Winlogon Notify: klogon - E:\WINDOWS\system32\klogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - E:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - E:\WINDOWS\System32\wdfmgr.exe (file missing)

Por ahora el pc me va perfectamente, aunque no se si estará desinfectado. Espero tu respuesta.

Muchas gracias (eres un crack)

Hola chaveita29400,

Todavia quedan algunas cosas por sacar de tu sistema para que quede bien limpio :shootist:


Paso 1- Apaga el "Restaurar Sistema" (http://www.forospyware.com/t68195.html#post292280)

Paso 2- Descarga estas herramientas pero no las ejecutes aun:
VundoFix.exe (http://www.forospyware.com/t14727.html)
DelPSGuard 4.5.0 (http://www.forospyware.com/t4239.html)
ComboFix (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)

Paso 3- Con todos los programas cerrados ejecuta el HijackThis y dale "FIX Cheked" a estas entradas:


O2 - BHO: (no name) - {2354A369-FB71-4D46-AE6D-701001F6D987} - (no file)
O2 - BHO: (no name) - {A6D6A635-6F18-4D16-A6D1-F62CDC039482} - (no file)

O4 - HKLM\..\Run: [msupdates] msupdates.exe
O4 - HKLM\..\Run: [Win32] bwc.exe
O4 - HKLM\..\Run: [Windows Service Agent] sewsis.exe

O4 - HKLM\..\RunServices: [msupdates] msupdates.exe
O4 - HKLM\..\RunServices: [Win32] bwc.exe
O4 - HKLM\..\RunServices: [Windows Service Agent] sewsis.exe

O4 - HKCU\..\Run: [Win32] bwc.exe
O4 - HKCU\..\Run: [Windows Service Agent] sewsis.exe

O20 - Winlogon Notify: gebxxvu - gebxxvu.dll (file missing)


Paso 4- Reinicia eh inicia en "Modo a prueba de fallos" (modo seguro) (http://www.forospyware.com/t68195.html#post292284)

Paso 5- Ejecuta estas herramientas, de a una:
DelPSGuard.exe <- Guarda su reporte.
VundoFix.exe
ComboFix

Paso 6- Descarga CCleaner (http://www.forospyware.com/t39511.html) y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Paso 7- Reinicia y hacele un escaneo online con "Panda ActiveScan Online" (http://www.forospyware.com/announcement.php?f=12)

Reinicia y nos contas los resultados.

Salu2