No se que le pasa a mi compu ahora, yo pense que ya habia aprendido la leccion pero pues quiensabe que onda estaba bajando unos juegos del real player, los que vienen en la pagina principal que hay un link para juegos pense que eran seguros y algo paso cuando lo termine de bajar, me abrio una pag de internet y me salia un mensaje y ya le puse cancelar y cerre todo, y desinstale el programa de juegos y ya como que no habia pasado nada o sea segui conectado y como si nada y ya apague la compu y cuando la vuelvo a prender es cuando me causo problemas, no queria entrar a windows y como que se quedaba pensando pero no avanzaba a correr windows, y ya hasta que la reseteaba y hacia un scandisk ya pudo entrar, y le pase el antivirus,y no detecto nada, luego el spybot, y si aparecieron varios pero ya los elimino, pase el disk cleaner, y ya pero cuando vuelvo a prender la computadora pasa lo mismo tengo que reiniciar con scandisk para entrar hasta windows, y en la entrada me aparece un error de que tdspoff.exe ha causado un error y no se que pero ya puedo seguir usando la computadora, lo que no puedo es usar explorer, ahi debe centrarse algun problema, el firefox si lo puedo usar y por eso puedo mandar este mensaje, la cosa es que no encontre scanners antivirus en linea que se puedan usar en firefox, todos requieren explorer y la cosa es que no jala mi explorer se traba al tratar de abrir una pag, por eso les pido un grandisimo favor de revisar mi log, y aconsejarme que hacer y tambien si me pueden recomendar un antivirus en linea ademas de los que estan aqui en su pagina que se pueda en firefox porque en explorer nomas no se puede
bueno despues del choro le agradesco de antemano si me pudieran dar una manita

este es el log



Logfile of HijackThis v1.99.1
Scan saved at 9:50:21 PM, on 9/4/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\THOTKEY.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\S3TRAY.EXE
C:\WINDOWS\SYSTEM\LTCM000C.EXE
C:\PROGRAM FILES\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\DSLAUNCH.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PROMON.EXE
C:\WINDOWS\SYSTEM\TPWRTRAY.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\TOSHIBA\IVP\ISM\PINGER.EXE
C:\WINDOWS\SYSTEM\TWARNMSG.EXE
C:\WINDOWS\SYSTEM\TFNCKY.EXE
C:\PROGRAM FILES\TIOGA\CLIENT\BIN\TGCMD.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
C:\HCJ\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: MSEvents Object - {827DC836-DD9F-4A68-A602-5812EB50A834} - C:\WINDOWS\SYSTEM\BYXWU.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [S3TRAY] S3tray.exe
O4 - HKLM\..\Run: [XircWinModem4] ltcm000c.exe 9
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [YAMAHA DS-XG Launcher] C:\WINDOWS\dslaunch.exe
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [TDspOff] Tdspoff.exe B
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Pinger] C:\TOSHIBA\IVP\ISM\pinger.exe
O4 - HKLM\..\Run: [TWarnMsg] TWarnMsg.exe
O4 - HKLM\..\Run: [TFncky] TFncky.exe
O4 - HKLM\..\Run: [TgAddServer] "C:\Program Files\tioga\Client\bin\tgfix.exe" /fds "http://vtsupport.answerteam.com/global"
O4 - HKLM\..\Run: [Tgcmd] "C:\Program Files\tioga\Client\bin\tgcmd.exe" /nosystray
O4 - HKLM\..\Run: [tgsetsite] "C:\Program Files\tioga\Client\bin\tgfix.exe" /i /f "C:\Program Files\tioga\client\bin\toshibasup.dna"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [THotkey] C:\WINDOWS\SYSTEM\THotkey.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunOnce: [*BYXWU] rundll32.exe C:\WINDOWS\SYSTEM\BYXWU.DLL,CreateProtectProc rerun
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/110b21d9c4c6f1730f23/netzip/RdxIE601.cab
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.176.158,85.255.112.8

Hola

Parece que no estás usando firewall en tu sistema, te recomiendo esto:
Sygate Personal Firewall

Recuerda pasar por el windowsupdate.com regularmente y mantener tu sistema actualizado. Tu sistema está bastante desactualizado.

Bueno, veamos ese reporte.

Recuerda seguir estos pasos para la reparación.

1. Ver los archivos ocultos de tu sistema
2. Desactivar la restauración del sistema
3. Iniciar el sistema en el modo «a prueba de fallos» o «modo seguro»
4. Haz los pasos con todos los programas cerrados salvo el que estés usando para la reparación o limpieza.

Esto no lo conozco, deberás revisar sus propiedades y ver si pertenece a algo que hayas instalado, si no es así, renómbralo y observa el funcionamiento de tu sistema durante un par de días, si nada va mal, bórralo. Si sabes que es o tiene alguna información que nos pueda servir, te la agradeceremos. Si no te suena de nada y quieres saber si es un código malicioso, puedes hacerlo analizar en esta página.

• C:\WINDOWS\SYSTEM\BYXWU.DLL
• Tdspoff.exe

Si borras esos archivos, deberás marcar esto en el hijackthis para reparar

• O2 - BHO: MSEvents Object - {827DC836-DD9F-4A68-A602-5812EB50A834} - C:\WINDOWS\SYSTEM\BYXWU.DLL
• O4 - HKLM\..\Run: [TDspOff] Tdspoff.exe B

Después de haber hecho esas reparaciones, ejecuta estas otras aplicaciones por si se le ha pasado algo al HijackThis:

• Ad-aware SE
• Disck Cleaner
• Microsoft AntiSpyware
• Spybot Search and Destroy
• Microsoft AntiSpyware
• RegSeeker. De este programa deberás usar principalmente la opción de «limpiar el registro»

Tu reporte no muestra nada realmente inadecuado. Tras estos pasos ya nos contarás como te va.

Felicidad

Hola, gracias por la pronta respuesta, analice el los archivos y esto fue lo que resulto:

This is a report processed by VirusTotal on 09/05/2005 at 17:28:59 (CET) after scanning the file "byxwu.dll" file.
Antivirus Version Update Result
AntiVir 6.31.1.0 09.05.2005 ADSPY/Virtumonde.O
Avast 4.6.695.0 09.05.2005 no virus found
AVG 718 08.31.2005 no virus found
Avira 6.31.1.0 09.05.2005 ADSPY/Virtumonde.O
BitDefender 7.0 09.02.2005 no virus found
CAT-QuickHeal 8.00 09.05.2005 AdWare.Virtumonde.o (Not a Virus)
ClamAV devel-20050725 09.05.2005 Adware.Virtumonde-1
DrWeb 4.32b 09.05.2005 no virus found
eTrust-Iris 7.1.194.0 09.05.2005 no virus found
eTrust-Vet 11.9.1.0 09.05.2005 no virus found
Fortinet 2.41.0.0 09.03.2005 suspicious
F-Prot 3.16c 09.02.2005 no virus found
Ikarus 0.2.59.0 09.05.2005 AdWare.Virtumonde.O
Kaspersky 4.0.2.24 09.05.2005 not-a-virus:AdWare.Virtumonde.o
McAfee 4574 09.05.2005 no virus found
NOD32v2 1.1208 09.02.2005 no virus found
Norman 5.70.10 09.05.2005 no virus found
Panda 8.02.00 09.04.2005 Trj/Pakes.AV
Sophos 3.97.0 09.05.2005 no virus found
Symantec 8.0 09.04.2005 no virus found
TheHacker 5.8.2.100 09.05.2005 no virus found
VBA32 3.10.4 09.03.2005 AdWare.Virtumonde.o



This is a report processed by VirusTotal on 09/05/2005 at 17:38:49 (CET) after scanning the file "Tdspoff.exe" file.
Antivirus Version Update Result
AntiVir 6.31.1.0 09.05.2005 no virus found
Avast 4.6.695.0 09.05.2005 no virus found
AVG 718 08.31.2005 no virus found
Avira 6.31.1.0 09.05.2005 no virus found
BitDefender 7.0 09.02.2005 no virus found
CAT-QuickHeal 8.00 09.05.2005 no virus found
ClamAV devel-20050725 09.05.2005 no virus found
DrWeb 4.32b 09.05.2005 no virus found
eTrust-Iris 7.1.194.0 09.05.2005 no virus found
eTrust-Vet 11.9.1.0 09.05.2005 no virus found
Fortinet 2.41.0.0 09.03.2005 no virus found
F-Prot 3.16c 09.02.2005 no virus found
Ikarus 0.2.59.0 09.05.2005 no virus found
Kaspersky 4.0.2.24 09.05.2005 no virus found
McAfee 4574 09.05.2005 no virus found
NOD32v2 1.1208 09.02.2005 no virus found
Norman 5.70.10 09.05.2005 no virus found
Panda 8.02.00 09.04.2005 no virus found
Sophos 3.97.0 09.05.2005 no virus found
Symantec 8.0 09.04.2005 no virus found
TheHacker 5.8.2.100 09.05.2005 no virus found
VBA32 3.10.4 09.03.2005 no virus found


creo que en el primero esta el problema.
cuando voy a la carpeta de system en windows, se esta actualizando la carpeta constantemente, quien sabe que onda, y trato de renombrar byxwu.dll pero efectivamente me dice que no se puede porque windows lo esta utilizando y asi se resetea constantemente, por lo pronto tratare de lompiar lo que pueda mientras me dan un comentario acerca de esto
gracias
bye

Hola

Entra en el modo a prueba de fallos y trata de renombrar el archivo. En principio, parece que allí está el problema, pero no l oborres aun a ver com ose comporta el sistema.

Si desde el modo a prueba de fallos no lo puedes renombrar, no avisas.

Felicidad

Gracias por tu atencion, y te cuento:

Ese archivo no lo puedo renombrar, ya entre en modo a prueba de fallos y no se puede renombrar el archivo, inclusive lo quiero cambiar de carpeta, y no tampoco se puede, no se le puede hacer nada siempre me sale un mensaje de que el archivo esta siendo utilizado por windows, entonces lo que hice fue renombrar otros archivos que parece estan vinculados con este (a veces al iniciar me salen mensajes de que se cometio un error en UWXYB.ini por el archivo byxwu.dll algo asi), hay tres archivos que son UWXYB.bak2, UWXYB.bak1, y UWXYB.ini que miden 169, 174 y 176 kB respectivamente, pude renomrar los 2 primeros y pues no pasa nada pero al renombrar UWXYB.ini simplemente se queda asi el archivo y aparece otro UWXYB.ini del mismo tamanio 176 Kb, haz de cuenta asi que la carpeta como cada 7 segs se actualiza o algo asi, o mas bien como que se regenera el archivo UWXYB.ini, entonces si renombro UWXYB.ini, a la momento que se vuelve a actualizar o regenerar vuelve a aparecer otro archivo identico UWXYB.ini, igual si lo cambio de carpeta aparece otra vez otro archivo UWXYB.ini y del mismo tamanio, estos archivos que te comento los cheque en el virus total y segun no existe virus en ellos, solo el que ya habia posteado el byxwu.dll,no se la verdad que pase, la compu en general esta muy inestable o sea por cualquier cosa se trabay esta un poquito mas lenta no mucho o sea no es muy notable , y al iniciarla como ya te habia comentado se queda trabada, o sea no inicia bien se que asi parada antes de entrar a windows y ya no avanza mas y esta como procesando algo asi como pensando, entonces mejor la apago, y para poder entrar bien tengo que obligarla a entrar con scandisk y asi si entra normal hasta windows, o sea que la tengo que apagar asi de sopeton para que cuando la vuelva a prender me aparesca el mensaje de que se apago de manera incorrecta y usa el scandisk para checar errores,
bueno por lo pronto es eso y espero tu respuesta,
una pequenia duda a ver si me pudieras aclarar, quisiera entrar en modo seguro pero con la posibilidad de usar internet el de banda ancha porque es el que tengo , pero cuando entro en modo seguro no se conecta no se puede usar internet y pues no se si es algo que tenga que activar o algo asi no se o de plano no se pueda a ver si me aclaras esa duda
bueno espero tu respuesta
gracias
adiu

Hola

En el modo seguro, solo se cargan los controladores mínimos para que el sistema funcione y se puedan hacer reparaciones y mantenimiento del sistema.

Sin embargo, deberías tener una opción en el menú que dice modo seguro con acceso a red, ese deberías funcionarte.

Sobre el UWXYB.ini, ¿podrías pegarnos el contenido del archivo?. Lo puedes abrir con el block de notas.

Puedes usar el Process Explorer para ver que procesos se están ejecutando y que archivos están implicados, desde ese programa, también podrás detener cualquier programa o servicio ejecutándose.

Bueno, ya nos contarás más.

Felicidad

Que tal, oye gracias por tu respuesta, lo del iniciar windows en safe mode con acceso a red creo que no se puede no me sale esa opcion, pero bueno pues eso no es tanto problema, el contenido del archivo UWXYB.ini, es como que pura basura no se la verdad pego una parte solo para darte una idea y ya me dices si lo pego todo, porque es muchisimo y son puros simbolos no se que onda, y lo de process explorer vaya no le entendi muy bien pero de los procesos que se estan ejecutando encontre que el RUNDLL32.EXE esta implicado el archivo BYXWU.DLL, asi esto es lo que sale: File C:\WINDOWS\SYSTEM\BYXWU.DLL, solo que no se que hacer tengo temor de darle kill al proceso y que quede peor no se si me puedas aconsejar con eso, bueno aqui pogo el contenido del otro archivo de UWXYB.ini


ebHOv]\Olmwt\Th
`L|fq2@6wLM gcvcyn
SFU_PTY_ZPA]KREY W\NSTV []TLY@]EAT
RZ
]SHB DVJ__FSPUY\OY\OA^GEXR@P[WZY[N]W@AYCQFVFWKSQV[
SKNYDUFDA]KZRATQV[
SKNYDUFDSJISDXTQV[
SKNYDUFD@SWQCPGQV[
SKNYDUFDSALDW_VQV[
SKNYDUFDBGKTYETQV[
SKNYDUFDBSATDP\QV[
SKNYDUFDEWWR@XFQV[
SKNYDUFDTSW]DPAQV[
SKNYDUFDW^UEBPAQV[
SKNYDUFD_\MSDTFQV[
SKNYDUFD[KTUUPGQV[
SKNYDUFDEFXBSWT[ZY[N]W@AYCQ[WECCPY_UY\OY\OA^GE
ZYFGBWJU^XDRSOFZRABWIF
WK\DRZ
]SHB DVJTP[
X]KB^V []TLY@]EX[C@XXUTY_ZPA]KREVXSTCBDT
QV[
SKNYDUFDGGP]FPLWKUY\OY\OA^GETOU^XU^LTRZ
]SHB DVJXPAY\N_RTY_ZPA]KREAN\XQX[QV[
SKNYDUFD^SWRDSY UYUY\OY\OA^GE_DSTANGJWRZ
]SHB DVJUPGYT_SDBY_ZPA]KREANTKSSUZ
QV[
SKNYDUFD[WMWUYTQWUY\OY\OA^GEJ[WCA
Y\\ORZ
]SHB DVJU]PDQKSRXAHU]T^OEVDRB^WQWDES DVUY\OY\OA^GETYDERQWV []TLY@]EW\W\ZS\FQV[
SKNYDUFDF@VQDTF_D\U^XDRSOFZRAFDXVGGVBSBY_ ZPA]KREV C\MDOF\SZY[N]W@AYCQ^\XRX[
B@\SRZ
]SHB DVJSUBDVSYXTFHU]T^OEVDRBSPMUYD[_^YDVOY\OA^GE\LBPMSFLDXV []TLY@]ERZ
F^\BSETQV[
SKNYDUFD[]KBQPRSJIYRZ
]SHB DVJPX[XQPWZP\QV[
SKNYDUFDY\U_XTWJ\ERZ
]SHB DVJBPMUFVXZX[QV[
SKNYDUFDUSUUTD\
RWKU^XDRSOFZRA[_BFXUTYXTLHU]T^OEVDRBE^\QW]S D_JU^XDRSOFZRAGCXV
S\UYW_FHU]T^OEVDRBTAWSBPVSAJU^XDRSOFZRAP_CF^]K_L^[HU]T^OEVDRB[WK_UP[

la tuve que copiar asi en partes porque como te digo es pura basura segun yo ypor ej un renglon esta muy largo y puros signos y cuando pongo copiar y pegar como que no reconoce solo pone cuatro letras raras pero bueno a ver que me dices
adio

Hola

Hasta donde se, puedes borrar e larchivo sin problemas, cuando lo borres, déjalo en la papelera durante un par de días, así podrás ver el comportamiento del sistema y si alguna cosa falla, puedes restaurarlo y contarnos que problema hubo.

Para borrarlo, deberás cancelar el proceso.

Sobre el RUNDLL32.EXE, no te preocupes, es parte integral del sistema operativo, es el que permite que se ejecuten las apliucaciones de 32 bits, es decir, todo...



Felicidad

Hola, disculpa lo intente borrar pero no puedo me sale el mismo mensaje de que el archivo esta siendo utilizado por windows, incluso cancelando el proceso, o sea en el programa le pongo en kill process rundll32.exe donde sale el archivo vinculado y ya se pone en rojo y voy a la carpeta a borrarlo y sale lo mismo de que no se puede porque lo esta utilizando windows, tambien me posicione sobre el archivo que sale en la parte de abajo del programa y tambien le di kill, se puso en rojo y arriba tambien el rundll32.exe se puso en rojo pero inmediatamente se vuelve a aparecer asi como en color verde y ya como que vuelve a tener actividad, y no puedo borrarlo, disculpa tanta molestia pero que puedo hacer
solo que lo intente borrar con el killbox pero bueno espero tu consejo
adiu

Hola

Disculpa, se me había traspapelado el mensaje.

Cuando cierras el proceso, debe desaparecer de la lista.

Sobre e larchivo problemático ¿tienes todo cerrado cuando intentas borrarlo? Si no es así, cierra todo y vuelve a intentarlo.

Si se sigue resistiendo, atacaremos el problea desde otra perspectiva por si es algún bichito el que lo está generando y protegiendo.

Ejecuta el MWAV.exe y nos mandas el reporte. Bueno, no todo ya que es muy grande, pero si las líneas que contengan las palabras "tagged" o "infected".

Si aun no lo has hecho, realiza al menos dos de los análisis antivirus en línea que aquí te propongo. No uses el de panda. Si encuentran algo que no puedan eliminar, péganos el reporte.

Estaré pendiente.

Felicidad