Hola, hace unos días que se me instaló una barra de herramientas (thequicklink)...y no hay forma de eliminarla. Por otra parte noto que el pc va muy lento...aplicaciones intentan acceder a internet y se descargan sin mi permiso ej. WareOut.exe y UnSpyPc... El Ad-Aware 1.05 parece que limpia algo pero me parece que lo "importante" persiste, tb tmgo instalado el mcafee.

Aquí va mi log...Agradezco de antemano vuestra ayuda.

Logfile of HijackThis v1.99.1
Scan saved at 17:03:02, on 04/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
D:\WINXP\System32\smss.exe
D:\WINXP\system32\winlogon.exe
D:\WINXP\system32\services.exe
D:\WINXP\system32\lsass.exe
D:\WINXP\System32\Ati2evxx.exe
D:\WINXP\system32\svchost.exe
D:\WINXP\System32\svchost.exe
D:\WINXP\system32\spoolsv.exe
D:\WINXP\system32\crypserv.exe
D:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
D:\ARCHIV~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
D:\WINXP\System32\svchost.exe
D:\ARCHIV~1\MCAFEE.COM\PERSON~1\MPFAGENT.EXE
D:\WINXP\system32\Ati2evxx.exe
D:\WINXP\Explorer.EXE
D:\ARCHIV~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
D:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Archivos de programa\QuickTime\qttask.exe
C:\java\bin\jusched.exe
C:\controlmouse\MOUSE32A.EXE
d:\archivos de programa\mcafee.com\agent\mcagent.exe
d:\archiv~1\mcafee.com\vso\mcvsescn.exe
D:\WINXP\System32\wuauclt.exe
d:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe
d:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe
d:\ARCHIV~1\mcafee.com\vso\mcshield.exe
d:\archiv~1\mcafee.com\vso\mcvsftsn.exe
D:\Archivos de programa\Messenger\msmsgs.exe
D:\Archivos de programa\Internet Explorer\iexplore.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - D:\WINXP\System32\pwasr.dll
O2 - BHO: (no name) - {823FDED7-84A7-F291-2D45-030D0557E662} - D:\WINXP\mfcli32.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINXP\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - d:\archiv~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - D:\WINXP\System32\pwasr.dll
O4 - HKLM\..\Run: [MCAgentExe] d:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MPFExe] D:\ARCHIV~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINXP\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ATIPTA] D:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [IEXPLORE.EXE] D:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
O4 - HKLM\..\Run: [MCUpdateExe] D:\ARCHIV~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\java\bin\jusched.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\controlmouse\MOUSE32A.EXE
O4 - HKLM\..\Run: [VSOCheckTask] "d:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "d:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [CleanUp] D:\ARCHIV~1\McAfee.com\Shared\mcappins.exe /v=3 /cleanup
O4 - HKLM\..\Run: [hgqhp.exe] D:\WINXP\System32\hgqhp.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINXP\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [WareOut] "D:\Archivos de programa\WareOut\WareOut.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Office2000\Office\OSA9.EXE
O8 - Extra context menu item: Bajar web con LeechGet - file://C:\leechget\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Descargar usando el Asistente de Descargas - file://C:\leechget\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Descargar usando LeechGet - file://C:\leechget\LeechGet 2004\\AddUrl.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\java\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\java\bin\npjpi142_06.dll
O9 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - D:\Archivos de programa\WareOut\WareOut.exe (HKCU)
O9 - Extra 'Tools' menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - D:\Archivos de programa\WareOut\WareOut.exe (HKCU)
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,83/mcinsctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098222736447
O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINXP\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINXP\system32\ati2sgag.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - D:\WINXP\SYSTEM32\crypserv.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - d:\ARCHIV~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - D:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - d:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - D:\ARCHIV~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINXP\System32\nvsvc32.exe

Hola, te doy la bienvenida al Foro de InfoSpyware, seguí estos pasos.

Paso 1- Apaga el "Restaurar Sistema"

Paso 2- Con todos los programas cerrados ejecuta el HijackThis y dale a estas entradas:

O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - D:\WINXP\System32\pwasr.dll

O2 - BHO: (no name) - {823FDED7-84A7-F291-2D45-030D0557E662} - D:\WINXP\mfcli32.dll (file missing)

O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - D:\WINXP\System32\pwasr.dll

O4 - HKLM\..\Run: [IEXPLORE.EXE] D:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

O4 - HKLM\..\Run: [hgqhp.exe] D:\WINXP\System32\hgqhp.exe

O4 - HKCU\..\Run: [WareOut] "D:\Archivos de programa\WareOut\WareOut.exe"

O9 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - D:\Archivos de programa\WareOut\WareOut.exe (HKCU) O9 - Extra 'Tools' menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - D:\Archivos de programa\WareOut\WareOut.exe (HKCU)

Paso 3- Sin reiniciar, con el programa "KillBox" y siguiendo las indicaciones del mensajes, copia y pega estos archivos de a uno para que los elimine al reiniciar.

D:\WINXP\System32\pwasr.dll
D:\WINXP\mfcli32.dll
D:\WINXP\System32\pwasr.dll
D:\WINXP\System32\hgqhp.exe
D:\Archivos de programa\WareOut\WareOut.exe

Y la carpeta WareOut con todo su contenido.

Paso 4- Usa el Disk Cleaner para limpiar cookies y temporales y RegSeeker para limpiar el registro de Win.

Paso 5- Pásale Ad-Aware SE actualizado eh instala SpywareBlaster

Paso 6- Reinicia y nos contas los resultados.

Salu2

...he conseguido eliminar la barra de herramientas (thequicklink), (gracias a "el-piedra"), pero sigo notando k algo no va bien...
Os dejo mi log...gracias.

Logfile of HijackThis v1.99.1
Scan saved at 18:12:49, on 11/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
D:\WINXP\System32\smss.exe
D:\WINXP\system32\winlogon.exe
D:\WINXP\system32\services.exe
D:\WINXP\system32\lsass.exe
D:\WINXP\System32\Ati2evxx.exe
D:\WINXP\system32\svchost.exe
D:\WINXP\System32\svchost.exe
D:\WINXP\system32\spoolsv.exe
D:\WINXP\system32\crypserv.exe
d:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe
D:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
D:\ARCHIV~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
D:\WINXP\System32\svchost.exe
D:\WINXP\system32\Ati2evxx.exe
D:\WINXP\Explorer.EXE
d:\ARCHIV~1\mcafee.com\vso\mcshield.exe
D:\ARCHIV~1\MCAFEE.COM\PERSON~1\MPFAGENT.EXE
D:\ARCHIV~1\mcafee.com\agent\mcagent.exe
D:\ARCHIV~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
D:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Archivos de programa\QuickTime\qttask.exe
C:\java\bin\jusched.exe
C:\controlmouse\MOUSE32A.EXE
D:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe
d:\archiv~1\mcafee.com\vso\mcvsescn.exe
D:\WINXP\System32\wuauclt.exe
d:\archiv~1\mcafee.com\vso\mcvsftsn.exe
D:\Archivos de programa\Messenger\msmsgs.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - {6891741C-F0C9-1BB8-D55B-5EA8C94F8A73} - Testimonials.dll (file missing)
R3 - URLSearchHook: (no name) - {A717D914-4AF5-CE69-E7DC-D6B1DD658E06} - clamav.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINXP\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - d:\archiv~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [MCAgentExe] d:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MPFExe] D:\ARCHIV~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINXP\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ATIPTA] D:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [IEXPLORE.EXE] D:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
O4 - HKLM\..\Run: [MCUpdateExe] D:\ARCHIV~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\java\bin\jusched.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\controlmouse\MOUSE32A.EXE
O4 - HKLM\..\Run: [VSOCheckTask] "d:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "d:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [new32] dialer423.exe
O4 - HKLM\..\Run: [DTOURS] wormexe.exe
O4 - HKLM\..\Run: [media64] KeywordFinder.exe
O4 - HKLM\..\Run: [runload32] LOPTCON.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINXP\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MON76234] NukeSpan.exe
O4 - HKCU\..\Run: [typeconf] xsetup.exe
O4 - HKCU\..\Run: [MNTP] defect08.exe
O4 - HKCU\..\Run: [TForm1] 321102.exe
O4 - HKCU\..\Run: [driver64] avpmondll.exe
O4 - HKCU\..\Run: [sbin] powerdll.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Office2000\Office\OSA9.EXE
O8 - Extra context menu item: Bajar web con LeechGet - file://C:\leechget\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Descargar usando el Asistente de Descargas - file://C:\leechget\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Descargar usando LeechGet - file://C:\leechget\LeechGet 2004\\AddUrl.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\java\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\java\bin\npjpi142_06.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,83/mcinsctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098222736447
O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINXP\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINXP\system32\ati2sgag.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - D:\WINXP\SYSTEM32\crypserv.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - d:\ARCHIV~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - D:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - d:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - D:\ARCHIV~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINXP\System32\nvsvc32.exe

Hola

Recuerda pasar por el windowsupdate.com regularmente y mantener tu sistema actualizado. Instala, al menos, el Windows XP Service Pack 1a, luego los parches del explorer y del sistema.

Bueno, veamos ese reporte.

Recuerda seguir estos pasos para la reparación.

1. Ver los archivos ocultos de tu sistema
2. Desactivar la restauración del sistema
3. Iniciar el sistema en el modo «a prueba de fallos» o «modo seguro»
4. Haz los pasos con todos los programas cerrados salvo el que estés usando para la reparación o limpieza.

Deberás marcar estas líneas en el Hijackthis para reparar:

• R3 - URLSearchHook: (no name) - {6891741C-F0C9-1BB8-D55B-5EA8C94F8A73} - Testimonials.dll (file missing)
• R3 - URLSearchHook: (no name) - {A717D914-4AF5-CE69-E7DC-D6B1DD658E06} - clamav.dll (file missing)
• O4 - HKLM\..\Run: [IEXPLORE.EXE] D:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
• O4 - HKLM\..\Run: [new32] dialer423.exe
• O4 - HKLM\..\Run: [DTOURS] wormexe.exe
• O4 - HKLM\..\Run: [media64] KeywordFinder.exe
• O4 - HKLM\..\Run: [runload32] LOPTCON.exe
• O4 - HKCU\..\Run: [MON76234] NukeSpan.exe
• O4 - HKCU\..\Run: [typeconf] xsetup.exe
• O4 - HKCU\..\Run: [MNTP] defect08.exe
• O4 - HKCU\..\Run: [TForm1] 321102.exe
• O4 - HKCU\..\Run: [driver64] avpmondll.exe
• O4 - HKCU\..\Run: [sbin] powerdll.exe

Después de haber hecho esas reparaciones, ejecuta estas otras aplicaciones por si se le ha pasado algo al HijackThis:

• Ad-aware SE
• Disck Cleaner
• Microsoft AntiSpyware
• Spybot Search and Destroy
• Microsoft AntiSpyware
• RegSeeker. De este programa deberás usar principalmente la opción de «limpiar el registro»

Tras estos pasos y reparaciones, cuéntanos como evoluciona el tema.

Felicidad

Muchas gracias.
...Pero si elimino esta línea: O4 - HKLM\..\Run: [IEXPLORE.EXE] D:\Archivos de programa\Internet Explorer\IEXPLORE.EXE...¿No estaré eliminando el Explorer?. Gracias otra vez y perdonad las molestias...

Hola

Está muy bien lo de preguntar cuando se tiene dudas.

Pero te diré, no, no lo eliminas, lo que eliminas, es el hecho de que se inicie solo al rrancar el sitema, cosa que es muy extraña y en la mayoría de las ocasiones está causado por un virus que usa la interfaz del programa para tratar de comunicarse con alguien y enviar información o descargar "refuerzos".

Felicidad

Ok, muchas gracias por todo... te debo unas cervezas.
Salu2.

je je je

Ya pasaré a buscarlas...



Cuéntanos como va el sistema.

Felicidad