Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola amigos, soy nuevo por este barrio y desear´´ia que alguien me ayudara pues no son pocas veces las que he formateado mi PC por culpa de virus y dem´´as desperdicios y en estos momentos......no toca eso

Me lleg´´o por correo un SPAM con un PDF adjunto, ingenuo de m´´i pens´´e que era impensable que contuviera un virus as´´i que lo abr´´i.

Para mi sorpresa el PDF me dio un error pasado unos segundos y no se abri´´o y entonces pens´´e que me hab´´ian infectado.

He de decir que no uso antivirus, siempre los he usado (panda, norton, NOD32, etc.) pero tarde o temprano terminan infectandome y acabo por formatear el PC y restaurar mi copia limpia.

Tengo dos s´´intomas claves, una son las repeteci´´on de las tildes, como puede observarse. Otra es la abertura de ventanas de publicidad al navegar con iExplorer (con firefox no me pasa).

Me instal´´e el NOD32 (Vs. 2623) y lo actualic´´e. Me detect´´o un virus que yo entend´´i que no pod´´ia onfluir mucho, pero a pesar de todo lo elimin´´e ya que no pod´´ia desinfectarlo.

Me instal´´e el Spybot y lo actualic´´e. Me solucion´´o alguna entradas peligrosas, pero me ha dejado otras que no puede solucionarlo; una la carpeta (C:\WINDOWS\system32\wsnpoem\) y otra dos, sendas dll; video.dll y audio.dll, pero esa ruta no est´´a en el sistema y me indica que es un malware . Activ´´e la protecci´´on permanente y ahora impide que se abran las ventanas emergentes, me avisa siempre cuando ellos sucede (es decir, sigo infectado pero al menos no me estorban las ventanas), otras se abren pero sin contenido alguno.

Puedo pasar as´´i con el iExplorer ya que navegar´´ia con firefox, pero las tildes no logro corregirlo y he mirado en los foros casos similares sin poder solucionarlo, pod´´eis ayudarme?

Os pongo el LOG de hijackthis:

Logfile of HijackThis v1.99.0
Scan saved at 0:19:58, on 30/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Archivos de programa\SISTEMA\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\carpserv.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\mHotkey.exe
C:\ARCHIV~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\Dit.exe
C:\Archivos de programa\Browser MOUSE\mouse32a.exe
C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
E:\Programas\SEGURIDAD\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F3 - REG:win.ini: run=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\System32\ntos.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SISTEMA\SPYBOT~1\SDHelper.dll
O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\System32\KGR2U71w.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [CallControl 4.5] C:\Archivos de programa\FaxTalk Communicator\FTCtrl32.exe /autoload
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Archivos de programa\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [Outpost Firewall] C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\RunOnce: [SpybotDeletingA5072] command /c del "C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted "
O4 - HKLM\..\RunOnce: [SpybotDeletingC3716] cmd /c del "C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted "
O4 - HKLM\..\RunOnce: [SpybotDeletingA3370] command /c del "C:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted "
O4 - HKLM\..\RunOnce: [SpybotDeletingC824] cmd /c del "C:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted "
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.0.720.3640 \GoogleToolbarNotifier.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB1004] command /c del "C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted "
O4 - HKCU\..\RunOnce: [SpybotDeletingD913] cmd /c del "C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted "
O4 - HKCU\..\RunOnce: [SpybotDeletingB2143] command /c del "C:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted "
O4 - HKCU\..\RunOnce: [SpybotDeletingD9354] cmd /c del "C:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted "
O4 - Startup: LIMPIATEMP.lnk = C:\LIMPIATEMP.BAT
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Abrir imagen en PhotoME... - C:\Archivos de programa\MULTIMEDIA\Fotografia\PhotoME\iemenuext.h tml
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\ARCHIV~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\ARCHIV~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)
O15 - Trusted Zone: http://www.adslzone.net
O15 - Trusted Zone: http://www.canonistas.com
O15 - Trusted Zone: http://www.dvdrspain.com
O15 - Trusted Zone: http://www.fileden.com
O15 - Trusted Zone: http://www.focofijo.com
O15 - Trusted Zone: http://www.forocoches.com
O15 - Trusted Zone: http://www.fotodigiscoping.info
O15 - Trusted Zone: http://www.fotonatura.org
O15 - Trusted Zone: WWW.HOTMAIL.COM
O15 - Trusted Zone: http://www.maxmemo.com
O15 - Trusted Zone: http://www.naturalezadigital.org
O15 - Trusted Zone: http://www.novoflex.de
O15 - Trusted Zone: http://foro.photodigiscoping.com
O15 - Trusted Zone: http://www.photodigiscoping.com
O15 - Trusted Zone: http://www.retratando.com
O15 - Trusted Zone: http://www.videoedicion.org
O15 - Trusted Zone: http://www.zonaemule.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1115D185-93C8-44F3-B8EC-F80403D76F75}: NameServer = 194.179.1.100,194.179.1.101
O17 - HKLM\System\CS1\Services\Tcpip\..\{1115D185-93C8-44F3-B8EC-F80403D76F75}: NameServer = 194.179.1.100,194.179.1.101
O17 - HKLM\System\CS2\Services\Tcpip\..\{1115D185-93C8-44F3-B8EC-F80403D76F75}: NameServer = 194.179.1.100,194.179.1.101
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Archivos de programa\SISTEMA\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: NOD32 Kernel Service - Unknown - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service - Agnitum - C:\ARCHIV~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) - Unknown - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

saludos y muchas gracias.

KchoPrro

Hola KchoPrro, te doy la bienvenida al Foro de InfoSpyware

Estas usando una versión antigua de HijackThis, por lo que descarga y ejecuta la nueva versión de
*HijackThis 2.0.2 para generar y dejarnos un nuevo log en este mismo mensaje.

Salu2

Gracias por la bienvenida y por responder.

Ya me he instalado la versi´´on 2.0.2. Añado el log hora de nuevo, aprovechando que le pas´´e ayer el kaspersky On Line y que me detect´´o varios archivos infectados.

Saludos

KchoPrro

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:18:35, on 30/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Archivos de programa\SISTEMA\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\carpserv.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\Dit.exe
C:\Archivos de programa\Browser MOUSE\mouse32a.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\ARCHIV~1\Agnitum\OUTPOS~1\outpost.exe
C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Archivos de programa\Outlook Express\msimn.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\SISTEMA\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F3 - REG:win.ini: run=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\System32\ntos.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SISTEMA\SPYBOT~1\SDHelper.dll
O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\System32\KGR2U71w.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [CallControl 4.5] C:\Archivos de programa\FaxTalk Communicator\FTCtrl32.exe /autoload
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Archivos de programa\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [Outpost Firewall] C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.0.720.3640 \GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: LIMPIATEMP.lnk = C:\LIMPIATEMP.BAT
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Abrir imagen en PhotoME... - C:\Archivos de programa\MULTIMEDIA\Fotografia\PhotoME\iemenuext.h tml
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\ARCHIV~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\ARCHIV~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)
O15 - Trusted Zone: http://www.adslzone.net
O15 - Trusted Zone: http://www.canonistas.com
O15 - Trusted Zone: http://www.dvdrspain.com
O15 - Trusted Zone: http://www.fileden.com
O15 - Trusted Zone: http://www.focofijo.com
O15 - Trusted Zone: http://www.forocoches.com
O15 - Trusted Zone: http://www.fotodigiscoping.info
O15 - Trusted Zone: http://*.fotodigiscoping.info
O15 - Trusted Zone: http://www.fotonatura.org
O15 - Trusted Zone: WWW.HOTMAIL.COM
O15 - Trusted Zone: http://www.maxmemo.com
O15 - Trusted Zone: http://www.naturalezadigital.org
O15 - Trusted Zone: http://www.novoflex.de
O15 - Trusted Zone: http://foro.photodigiscoping.com
O15 - Trusted Zone: http://www.photodigiscoping.com
O15 - Trusted Zone: http://www.retratando.com
O15 - Trusted Zone: http://*.retratando.com
O15 - Trusted Zone: http://www.videoedicion.org
O15 - Trusted Zone: http://www.zonaemule.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1115D185-93C8-44F3-B8EC-F80403D76F75}: NameServer = 194.179.1.100,194.179.1.101
O17 - HKLM\System\CS1\Services\Tcpip\..\{1115D185-93C8-44F3-B8EC-F80403D76F75}: NameServer = 194.179.1.100,194.179.1.101
O17 - HKLM\System\CS2\Services\Tcpip\..\{1115D185-93C8-44F3-B8EC-F80403D76F75}: NameServer = 194.179.1.100,194.179.1.101
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Archivos de programa\SISTEMA\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\ARCHIV~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

--
End of file - 7492 bytes

Hola KchoPrro,

Paso 1- Descarga estas herramientas pero no las ejecutes aun:

• ComboFix.exe
• SUPERAntiSpyware

Paso 2- Con todos los programas cerrados ejecuta el HijackThis y dale "FIX Cheked" a estas entradas:


F3 - REG:win.ini: run=

O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\System32\KGR2U71w.dll


Sin reiniciar con el programa "FileASSASSIN" borra este archivo:


C:\WINDOWS\System32\KGR2U71w.dll



Paso 3- Ejecuta estas herramientas, de a una:

• SUPERAntiSpyware

Paso 4- Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Reinicia y nos contas los resultados. junto con el reporte de CF.

Salu2

Un mostro!, eso es lo que eres, pero es que además alucino con la cantidad de mensajes que respondes en un sólo día, y encima escribiendo parrafadas, joé!, no tienes precio shavalote!!

Bueno, problema resuelto, he seguido los pasos y todo ha ido de fábula, el único punto extraño ha sido que no he podido borrar el archivo que me has mencionado (:\WINDOWS\System32\KGR2U71w.dll) por la sencilla razón de que panda activescan lo había hecho horas antes de tu contestación, pero por el resto todo perfecto, le he pasado el Spybot y el SUPERAntiSpy y ahora ninguno de los dos me encuentra nada raro (no era así antes y con Spyboto no podía eliminar unos archivos, cosa que ha hecho SUPERAntiSpy).

Además de no tener ventanas emergentes ya puedo poner las tildes, fíjates:

camión, natación, observación, maricó....eeeeee!!! que me embalo

Te cuelgo el report del CF, gracias por todo.

ComboFix 07-10-29.1 - Administrador 2007-10-31 23:04:50.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.3082.18.195 [GMT 1:00]
Se ejecuta desde: E:\Programas\SEGURIDAD\ComboFix.exe
* Creado un nuevo punto de restauración
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\nvrssk.dll
C:\WINDOWS\system32\nvrssl.dll

.
(((((((((((((((((( Archivos creados desde 2007-09-28 - 2007-10-31 )))))))))))))))))))))))))))))))))
.

2007-10-31 22:25 <DIR> d--hs---- C:\Documents and Settings\Administrador\Phone Browser
2007-10-31 22:20 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\PC Suite
2007-10-31 22:20 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\Nokia
2007-10-31 22:18 <DIR> d-------- C:\Archivos de programa\Nokia
2007-10-31 22:18 <DIR> d-------- C:\Archivos de programa\Archivos comunes\PCSuite
2007-10-31 22:18 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Nokia
2007-10-31 22:17 <DIR> d-------- C:\Archivos de programa\DIFX
2007-10-31 22:16 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-10-31 22:16 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\PC Suite
2007-10-31 22:15 <DIR> d-------- C:\Archivos de programa\PC Connectivity Solution
2007-10-31 22:13 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Downloaded Installations
2007-10-31 21:26 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2007-10-31 21:25 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com
2007-10-31 15:57 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-30 21:52 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2007-10-29 23:49 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-10-28 08:34 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\PhotoME
2007-10-27 17:28 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2007-10-27 16:51 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Agnitum Shared
2007-10-27 16:46 2,560 --a------ C:\WINDOWS\_MSRSTRT.EXE
2007-10-27 13:04 <DIR> d-------- C:\Archivos de programa\Agnitum
2007-10-26 21:06 298,576 --a------ C:\WINDOWS\system32\drivers\amon.sys
2007-10-26 21:06 184,320 --a------ C:\WINDOWS\system32\imon.dll
2007-10-26 21:06 114,688 --a------ C:\WINDOWS\system32\nms32.dll
2007-10-26 21:03 <DIR> d-------- C:\WINDOWS\pss

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2007-10-31 22:10 17,408 ----a-w C:\WINDOWS\system32\drivers\USBCRFT.SYS
2007-10-31 20:25 --------- d-----w C:\Archivos de programa\SISTEMA
2007-10-31 13:47 --------- d-----w C:\Archivos de programa\Codec Pack de ELISOFT
2007-10-30 21:02 155,648 ----a-w C:\WINDOWS\system32\NeroCheck.exe
2007-10-23 14:10 --------- d-----w C:\Archivos de programa\eMule
2007-09-03 18:00 --------- d-----w C:\Documents and Settings\Administrador\Datos de programa\Canon
2007-07-05 07:53 86,016 ------w C:\WINDOWS\system32\pxwma.dll
1998-08-24 11:09 10,000 ----a-w C:\WINDOWS\inf\unregpn.exe
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-11-17 10:33]
"nwiz"="nwiz.exe" [2003-11-17 10:33 C:\WINDOWS\system32\nwiz.exe]
"C-Media Mixer"="Mixer.exe" [2001-11-15 20:08 C:\WINDOWS\mixer.exe]
"CARPService"="carpserv.exe" [2001-12-03 13:58 C:\WINDOWS\system32\carpserv.exe]
"CallControl 4.5"="C:\Archivos de programa\FaxTalk Communicator\FTCtrl32.exe" [2000-02-28 10:57]
"CHotkey"="mHotkey.exe" [2001-10-08 15:43 C:\WINDOWS\mHotkey.exe]
"Dit"="Dit.exe" [2004-08-05 18:28 C:\WINDOWS\Dit.exe]
"FLMOFFICE4DMOUSE"="C:\Archivos de programa\Browser MOUSE\mouse32a.exe" [2007-10-30 22:09]
"RemoteControl"="C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe" [2007-01-08 21:26]
"LanguageShortcut"="C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 21:17]
"NeroFilterCheck"="C:\WINDOWS\System32\NeroCheck.e xe" [2007-10-30 22:02]
"nod32kui"="C:\Archivos de programa\Eset\nod32kui.exe" [2007-10-26 21:08]
"Outpost Firewall"="C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe" [2004-10-04 11:51]
"SpywareTerminator"="C:\Archivos de programa\SISTEMA\Spyware Terminator\SpywareTerminatorShield.exe" []
"PCSuiteTrayApplication"="C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2006-11-28 14:12]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"SUPERAntiSpyware"="C:\Archivos de programa\SISTEMA\SUPERAntiSpyware\SUPERAntiSpyware .exe" [2007-06-21 14:06]

[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\run]
"PcSync"=C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

C:\Documents and Settings\Administrador\Menú Inicio\Programas\Inicio\
LIMPIATEMP.lnk - C:\LIMPIATEMP.BAT [2004-01-31 16:09:29]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SISTEMA\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SISTEMA\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Archivos de programa\SISTEMA\SUPERAntiSpyware\SASWINLO.dll

R1 GhPciScan;GhostPciScanner;\??\C:\Archivos de programa\SISTEMA\Symantec\Norton Ghost 2003\ghpciscan.sys
R1 VFILT;Outpost Firewall Kernel Driver;\??\C:\ARCHIV~1\Agnitum\OUTPOS~1\kernel\FIL TNT.SYS
R2 BT848;AVerMedia, AVerTV WDM Video Capture;C:\WINDOWS\System32\drivers\BT848.sys
R2 BTTUNER;AVerMedia, AVerTV WDM TvTuner;C:\WINDOWS\System32\drivers\BTTUNER.sys
R2 BTXBAR;AVerMedia, AVerTV WDM Crossbar;C:\WINDOWS\System32\drivers\BTXBAR.sys
R3 ADBLOCK.DLL;Outpost Firewall PlugIn (ADBLOCK.DLL);\??\C:\ARCHIV~1\Agnitum\OUTPOS~1\ker nel\ADBLOCK.DLL
R3 axvbusx;axvbusx;C:\WINDOWS\System32\DRIVERS\axvbus x.sys
R3 axvscsi;axvscsi;C:\WINDOWS\System32\DRIVERS\axvscs i.sys
R3 CardReaderFilter;Card Reader Filter;\??\C:\WINDOWS\System32\Drivers\USBCRFT.SYS
R3 CONTENT.DLL;Outpost Firewall PlugIn (CONTENT.DLL);\??\C:\ARCHIV~1\Agnitum\OUTPOS~1\ker nel\CONTENT.DLL
R3 DNSCACHE.DLL;Outpost Firewall PlugIn (DNSCACHE.DLL);\??\C:\ARCHIV~1\Agnitum\OUTPOS~1\ke rnel\DNSCACHE.DLL
R3 FTPFILT.DLL;Outpost Firewall PlugIn (FTPFILT.DLL);\??\C:\ARCHIV~1\Agnitum\OUTPOS~1\ker nel\FTPFILT.DLL
R3 HTMLFILT.DLL;Outpost Firewall PlugIn (HTMLFILT.DLL);\??\C:\ARCHIV~1\Agnitum\OUTPOS~1\ke rnel\HTMLFILT.DLL
R3 HTTPFILT.DLL;Outpost Firewall PlugIn (HTTPFILT.DLL);\??\C:\ARCHIV~1\Agnitum\OUTPOS~1\ke rnel\HTTPFILT.DLL
R3 IMAPFILT.DLL;Outpost Firewall PlugIn (IMAPFILT.DLL);\??\C:\ARCHIV~1\Agnitum\OUTPOS~1\ke rnel\IMAPFILT.DLL
R3 MAILFILT.DLL;Outpost Firewall PlugIn (MAILFILT.DLL);\??\C:\ARCHIV~1\Agnitum\OUTPOS~1\ke rnel\MAILFILT.DLL
R3 NNTPFILT.DLL;Outpost Firewall PlugIn (NNTPFILT.DLL);\??\C:\ARCHIV~1\Agnitum\OUTPOS~1\ke rnel\NNTPFILT.DLL
R3 POP3FILT.DLL;Outpost Firewall PlugIn (POP3FILT.DLL);\??\C:\ARCHIV~1\Agnitum\OUTPOS~1\ke rnel\POP3FILT.DLL
R3 PROTECT.DLL;Outpost Firewall PlugIn (PROTECT.DLL);\??\C:\ARCHIV~1\Agnitum\OUTPOS~1\ker nel\PROTECT.DLL
S1 sp_rsdrv2;Spyware Terminator Driver 2;\??\C:\Documents and Settings\All Users\Datos de programa\Spyware Terminator\sp_rsdrv2.sys
S3 AIRPLUS;D-Link AirPlus Wireless Adapter;C:\WINDOWS\System32\DRIVERS\airplus.sys

.
Contenido de carpeta 'Tareas Programadas'
"2007-10-29 23:00:00 C:\WINDOWS\Tasks\At1.job"
"2007-10-28 08:00:00 C:\WINDOWS\Tasks\At10.job"
"2007-10-12 08:01:03 C:\WINDOWS\Tasks\At11.job"
"2007-10-12 09:01:02 C:\WINDOWS\Tasks\At12.job"
"2007-10-12 10:01:00 C:\WINDOWS\Tasks\At13.job"
"2007-10-28 12:00:00 C:\WINDOWS\Tasks\At14.job"
"2007-10-28 13:00:00 C:\WINDOWS\Tasks\At15.job"
"2007-10-23 13:01:04 C:\WINDOWS\Tasks\At16.job"
"2007-10-29 15:00:00 C:\WINDOWS\Tasks\At17.job"
"2007-10-26 15:01:02 C:\WINDOWS\Tasks\At18.job"
"2007-10-27 16:00:00 C:\WINDOWS\Tasks\At19.job"
"2007-10-30 00:00:00 C:\WINDOWS\Tasks\At2.job"
- C:\WINDOWS\System32\mTUgyG1T.exe
"2007-10-26 17:01:00 C:\WINDOWS\Tasks\At20.job"
"2007-10-26 18:01:00 C:\WINDOWS\Tasks\At21.job"
"2007-10-31 20:00:00 C:\WINDOWS\Tasks\At22.job"
"2007-10-31 21:00:00 C:\WINDOWS\Tasks\At23.job"
"2007-10-31 22:00:00 C:\WINDOWS\Tasks\At24.job"
"2007-10-30 01:00:00 C:\WINDOWS\Tasks\At3.job"
"2007-10-30 02:00:00 C:\WINDOWS\Tasks\At4.job"
- C:\WINDOWS\System32\mTUgyG1T.exe
"2007-10-30 03:00:00 C:\WINDOWS\Tasks\At5.job"
- C:\WINDOWS\System32\mTUgyG1T.exe
"2007-10-30 04:00:00 C:\WINDOWS\Tasks\At6.job"
- C:\WINDOWS\System32\mTUgyG1T.exe
"2007-10-30 05:00:00 C:\WINDOWS\Tasks\At7.job"
"2007-10-26 05:01:00 C:\WINDOWS\Tasks\At8.job"
"2007-10-06 06:01:00 C:\WINDOWS\Tasks\At9.job"
.
************************************************** ************************

catchme 0.3.1239 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-31 2336
Windows 5.1.2600 Service Pack 1 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
Tiempo completado: 2007-10-31 23:12:27 - machine was rebooted
.
--- E O F ---

Hola, ComboFix ya se encargo de eliminar los archivos de malwares encontrados en tu PC, por lo que si todo esta funcionado bien, damos por terminado el tema.

Para terminar solo te quedaría quitar CF de la siguiente manera:

• Ir a Inicio > Ejecutar
• Escribir lo siguiente: ComboFix /u como muestra la imagen debajo:
  
  
  • 
• Esto activara el desinstalador de ComboFix abriendo su pantalla principal y luego de unos segundos veras ("ComboFix is uninstalled")

Esto realizara las siguientes tareas:

• Se borraran:
  • ComboFix: - sus archivos y carpetas.
  • VundoFix: - Backup (si está presente)
  • The Avenger: - Backup (si está presente)
  • DSS Deckard: - Backup (si está presente)
  • OtMoveIt: - Backup (si está presente)
• Restablece la configuración del reloj.
• Ocultar extensiones de archivo (si es necesario.)
• Oculta los archivos que estaban ocultos
• Reactiva el "Restaurar Sistema"

Para evitar este tipo de infecciones te recomiendo usar un navegador mas seguro como Firefox

Salu2

Gracias, así lo haré.

saludos!

KchoPrro