Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Pues si amigos, no se que demonios le pasa a mi ordenador.Ayer lo dejé limpio siguiendo los 11 pasos ya que se me avisaba de que tenia espias.
Hoy lo enciendo y a los 5 minutos ya me está volviendo a decir que tengo espias.
Intento pasar el spybot y se queda parado en 6731/ 27257 WWWcoolsearch Aboutblank.
Intento pasar el activeScan y despues de desinfectar algun virus se queda parado en C:\windows\System32\ntdll.dll
Intento entrar en la carpeta C:\windows\System32 y no me deja, se cuelga el ordenador.

Qué creeis que pasa? Será que el spybot SD Residente ha bloqueado algo?
Por favor, ayudadme, no me a trevo a utilizar el ordenador por miedo a que pase algo. No se si tendré que formatearlo

Gracias

Hola Jessmar

Te damos la bienvenida al foro de InfoSpyware, recuerda pasar por Windows Update regularmente y mantener tu sistema actualizado, sigue este Tutorial paso a paso, luego le pasas el RegSeeker para limpiar el registro, limpia la papelera y si con ello no se soluciona tu problema descarga Hijackthis 1.99.1 siguiendo las indicaciones del enlace y nos posteas un log en este mismo mensaje


Esperamos que nos cuentes como te fue...

saludos

Hola, he vuelto a hacer todo pero resulta que en el modo a prueba de fallos no puedo hacer nada. El spybot y el regcleener se quedan colgados. No se puede entrar en la carpeta system32.
El Log del HJ es el siguiente:

Logfile of HijackThis v1.99.1
Scan saved at 21:49:55, on 24/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\pctspk.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\Archivos de programa\Ahead\InCD\InCD.exe
C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Archivos de programa\Palm\HOTSYNC.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\1XConfig.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - {0E44B7DF-CD24-B35E-AFC3-F843922077AA} - SysSupport.dll (file missing)
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\emjex.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Archivos de programa\Intel\PROSetWireless\NCS\PROSet\PRONoMgr. exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [new32] ActionScr.exe
O4 - HKCU\..\Run: [sysconf16] panel_its.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: HotSync Manager.lnk = C:\Archivos de programa\Palm\HOTSYNC.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1124692690333
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/actives...ree/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B090B30-EB1E-4489-8B82-81FBA33FF7AD}: NameServer = 69.50.176.158,85.255.112.8
O17 - HKLM\System\CCS\Services\Tcpip\..\{7179A7E7-28DA-4D78-B8A5-9A1526B3FFBA}: NameServer = 69.50.176.158,85.255.112.8
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CF72B85-7E9A-432A-9366-6F94B6D5239D}: NameServer = 69.50.176.158,85.255.112.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{1B090B30-EB1E-4489-8B82-81FBA33FF7AD}: NameServer = 69.50.176.158,85.255.112.8
O17 - HKLM\System\CS2\Services\Tcpip\..\{1B090B30-EB1E-4489-8B82-81FBA33FF7AD}: NameServer = 69.50.176.158,85.255.112.8
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\system32\LgNotify.dll
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe

Qué os parece?

Recuerda pasar por Windows Update regularmente y mantener tu sistema actualizado.

Ahora sigue estos pasos para la reparación.

• ver archivos ocultos en todos los Windows

• Apaga restaurar sistema solo en Win ME y XP

• Descargate la herramienta VX2 Cleaner para eliminar las entradas 01

• Modo a prueva de fallos


Con todos los programas cerrados ejecuta el HijackThis y dale "FIX Cheked" a estas entradas:

O1 - Hosts: localhost 127.0.0.1

R3 - URLSearchHook: (no name) - {0E44B7DF-CD24-B35E-AFC3-F843922077AA} - SysSupport.dll (file missing)

O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\emjex.dll (file missing)

O4 - HKCU\..\Run: [new32] ActionScr.exe

O4 - HKCU\..\Run: [sysconf16] panel_its.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{1B090B30-EB1E-4489-8B82-81FBA33FF7AD}: NameServer = 69.50.176.158,85.255.112.8

O17 - HKLM\System\CCS\Services\Tcpip\..\{7179A7E7-28DA-4D78-B8A5-9A1526B3FFBA}: NameServer = 69.50.176.158,85.255.112.8

O17 - HKLM\System\CCS\Services\Tcpip\..\{9CF72B85-7E9A-432A-9366-6F94B6D5239D}: NameServer = 69.50.176.158,85.255.112.8

O17 - HKLM\System\CS1\Services\Tcpip\..\{1B090B30-EB1E-4489-8B82-81FBA33FF7AD}: NameServer = 69.50.176.158,85.255.112.8

O17 - HKLM\System\CS2\Services\Tcpip\..\{1B090B30-EB1E-4489-8B82-81FBA33FF7AD}: NameServer = 69.50.176.158,85.255.112.8


Busca y elimina estos archivos y/o carpetas:

SysSupport.dll
C:\WINDOWS\system32\emjex.dll
ActionScr.exe
panel_its.exe

Para archivos que no se dejen eliminar usa KillBox (Ir pulsando en el botón que parece un circulo rojo con una X blanca. Cuando se le pregunte si queres reiniciar ahora ("Reboot now"), ponerle que NO hasta poner el ultimo archivo y ahi ponerle que SI para que reinicie y elimine estos archivos)
Recuerda vaciar la papelera

Ahora ejecuta estas otras aplicaciones

• SpywareBlaster 3.4

• Ad-Aware 1.0.6

• Disk cleaner

• SpyBoot S.D

• RegSeeker. De este programa deberás usar principalmente la opción de «limpiar el registro»



Cuando termines nos pones un nuevo log y nos cuentas los resultados.

saludos

Ya he hecho lko que me habeis dicho con HJ y fix.
Pero no puedo seguir puesto que no puedo entrar en System32.El ordenador se cuelga.

Qué me sugeriis?

Pon un nuevo log...

Consejos para antes de publicar un nuevo mensaje

He tenido que formatear el portatil. Todo dejó de funcionar

Bueno, ya que has formateado aprovecha para hacer un clon perfecto de tu ordenador, y luego de instalar los programas mas importantes que quieras tener en tu ordenador, pues seria bueno, que utilizaras el POWER QUEST DRIVE IMAGE. Drive Image sirve para hacer un clon perfecto de la partición que selecciones, la idea es muy simple: tener siempre el ordenador en perfecto estado, eso quiere decir sin basura ni nada que ralentice nuestro PC, los virus y demás "bichejos" no tienen nada que hacer, simplemente desaparecen...tambien te dejo el Partition Magic por si quieres hacer alguna particion que siempre es bueno.

aqui tienes el manual

aqui el Power Quest Drive Image

...y aqui el Partition Magic 8.0

saluditoss