Hola muy wenas,

Primero felicitaros por vuestro trabajo, no lo conocia y buscando en el google os encontre, las verdad es q me he kedado fascinado.

Bueno despues de hacer la pelota os explico mi problema.

He ido a casa de mi vecina pq me decia q el PC no le funcionaba como era debido y q no se le conectaba a internet y tal.

Lo q hice fue pasar el SPYBOT S&D, Panda Online (consegui conectarme), y el AVG Free Edition. Despues de tirarme una hora y media, con la pobre mujer ahi plantada, sin ningun tema de conversacion posible, logre borrar aproximadamente unos 67 virus en total. Cuando reinicie el ordenador, me salio una Alerta de windows del RUNDLL q ponia:

Error al cargar

c:\ARCHIV~1\NEWDOT~1\NEWDOT~2.dll

He leido algo acerca de este virus, pero son diversas las soluciones q plantean y algunas bastantes liosas. Lo q le pasa a la mujer es q puede conectarse a internet pero ahora el explorer le pone q pagina no encontrada, y el msn explorer ni le inicia sesion, igual q el msn.

Me he decidido por usar vuestro programa HijackThis 1.99.1, y si no es molestia enviaros el log desde mi casa claro XD

Otra vez mas felicitaros.

Gracias anticipadas

Edito: Os lo pasare el log cuando pueda ya q no se cuando podre ir a su casa y pasar el HijackThis. Gracias

Hola Erikfumi, por el momento muevo tu tema al Foro de Spyware y en cuento tengas el log de HijackThis lo pones en este mismo mensaje y estaremos pendientes.

Ya que los procedimientos pueden demorar y para cortar un poco la tensión te recomendaría que le digieras a tu vecina que para mayor comodidad de ambos que necesitas llevarte el PC a tu casa y realizar los procedimientos de ahi.

Salu2

YA esta lo acabo de pasar, te dejo el log.

Logfile of HijackThis v1.99.1
Scan saved at 17:12:07, on 27/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\pavsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\AVENGINE.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\mHotkey.exe
C:\Archivos de programa\Winamp3\winampa.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Archivos de Programa\AUNA ADSL\dslagent.exe
C:\Archivos de programa\SurfAccuracy\SAcc.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINDOWS\System32\bo5fjfho.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\ARCHIV~1\MESSEN~1\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Documents and Settings\Lucia\Escritorio\lucia\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eresmas.com/i2r/login2?to=www.wanadoo.es&nack=www.wanadoo.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\System32\shdoclc.dll/dnserror.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.eresmas.com/i2r/login2?to=www.wanadoo.es&nack=www.wanadoo.es&__r5= 1066677256-6602+6168172+luciaslag+.wanadoo.es+Z016b4cdf25c1ca c2e9ba1452dea9e641860994c39f741d477d4e035f53c4ca53 ef4eceefd4082075bc59e65e9d2f6d5743b9c2229a3e3a1f99 b45c4441f9168fe96786cf33a7d263aa665139ff829c287302 59ba17e5
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O1 - Hosts: 62.81.237.170 beta.search.msn.com
O1 - Hosts: 62.81.237.170 beta.search.msn.com
O1 - Hosts: 62.81.237.170 beta.search.msn.com
O1 - Hosts: 62.81.237.170 beta.search.msn.com
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Activater - {1E1B2879-88FF-11D2-8D96-D7ACAC95951F} - (no file)
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Archivos de programa\NewDotNet\newdotnet6_38.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Archivos de programa\ISTbar\istbarcm.dll (file missing)
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\SysUpd.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Archivos de Programa\AUNA ADSL\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Archivos de Programa\AUNA ADSL\dslagent.exe
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [eDonkey2000] "C:\Archivos de programa\eDonkey2000\eDonkey2000.exe" -t
O4 - HKLM\..\Run: [Win32 Driver] svchosts.exe
O4 - HKLM\..\Run: [WGtaCacC2] C:\WINDOWS\dliujuv.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Archivos de programa\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [BullsEye Network] C:\Archivos de programa\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [bo5fjfho] C:\WINDOWS\System32\bo5fjfho.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamk0p32.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\RunServices: [Win32 Driver] svchosts.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamk0p32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\ARCHIV~1\MESSEN~1\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Archivos de programa\SideFind\sidefind.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\ARCHIV~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\ARCHIV~1\MESSEN~1\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'c:\archivos de programa\newdotnet\newdotnet6_38.dll' missing
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.bardownload.com/ie/addon.chm::/file.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
O16 - DPF: {20048BB3-DB68-11CF-9CAF-00AA006CB425} (007installer Control) - http://www.bardownload.com/prompt/cabs/website.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {8E65B894-C2E9-11D5-BCD3-00E018987509} - http://09.sharedsource.org/cabs/buscacancioneses.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab?refid=3309
O16 - DPF: {B7E76C25-791F-432E-BDB7-748D01A93FC2} (VacPro.int_ver30) - http://advnt01.com/dialer/int_ver30.CAB
O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe
O23 - Service: Mouse Cursor Monitor (mousecrm) - Unknown owner - C:\WINDOWS\System32\mousecrm.exe (file missing)
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\WINDOWS\SYSTEM32\pavsrv.exe
O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\microsoft.exe (file missing)
O23 - Service: Win32 Driver (shit) - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -netsvcs (file missing)
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\ARCHIV~1\ARCHIV~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
O23 - Service: Windows HWinfo Loader - Unknown owner - C:\WINDOWS\iexplre.exe (file missing)

Muchas gracias por todo

Bueno realmente el equipo esta muy infectado y no solo con el New.net

Te recomiendo imprimir estos pasos ya que vas a necesitar reiniciar y tener todos los programas cerrados al realizarlos.

Empeza tratando de desinstalar desde el Panel de Control > Agregar/Quitar Programas estos:

NewDotNet
ISTbar
Internet Optimizer
WebHancer
SurfAccuracy
BullsEye Network
BargainBuddy


Paso 1- Apaga el "Restaurar Sistema"

Paso 2- Descarga la herramienta LSPFix.exe ejecutala y agarra el archivo newdotnet6_38.dll lo pones en la ventana de "REMOVE" y le das "FINISH"

Paso 3- Descarga el programa Ewido Security Suite 3.5 , Actualízalo pero no lo ejecutes aun.

Paso 4- Con todos los programas cerrados ejecuta el HijackThis y dale a estas entradas:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O1 - Hosts: 62.81.237.170 beta.search.msn.com
O1 - Hosts: 62.81.237.170 beta.search.msn.com
O1 - Hosts: 62.81.237.170 beta.search.msn.com
O1 - Hosts: 62.81.237.170 beta.search.msn.com

O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing)

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Archivos de programa\NewDotNet\newdotnet6_38.dll (file missing)

O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Archivos de programa\ISTbar\istbarcm.dll (file missing)

O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\SysUpd.exe

O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"

O4 - HKLM\..\Run: [Win32 Driver] svchosts.exe
O4 - HKLM\..\Run: [WGtaCacC2] C:\WINDOWS\dliujuv.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Archivos de programa\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [BullsEye Network] C:\Archivos de programa\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [bo5fjfho] C:\WINDOWS\System32\bo5fjfho.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamk0p32.exe

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\RunServices: [Win32 Driver] svchosts.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamk0p32.exe

O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Archivos de programa\SideFind\sidefind.dll

O10 - Broken Internet access because of LSP provider 'c:\archivos de programa\newdotnet\newdotnet6_38.dll' missing

O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.bardownload.com/ie/addon.chm::/file.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
O16 - DPF: {20048BB3-DB68-11CF-9CAF-00AA006CB425} (007installer Control) - http://www.bardownload.com/prompt/cabs/website.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {8E65B894-C2E9-11D5-BCD3-00E018987509} - http://09.sharedsource.org/cabs/buscacancioneses.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab?refid=3309
O16 - DPF: {B7E76C25-791F-432E-BDB7-748D01A93FC2} (VacPro.int_ver30) - http://advnt01.com/dialer/int_ver30.CAB

O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\microsoft.exe (file missing)
O23 - Service: Win32 Driver (shit) - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -netsvcs (file missing)

O23 - Service: Windows HWinfo Loader - Unknown owner - C:\WINDOWS\iexplre.exe (file missing)


Paso 5- Sin reiniciar con el programa "KillBox" elimina estos archivos:

C:\WINDOWS\System32\bo5fjfho.exe
C:\Archivos de programa\SurfAccuracy\SAcc.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINDOWS\SysUpd.exe
C:\Program Files\webHancer\Programs\whSurvey.exe
C:\WINDOWS\dliujuv.exe
C:\ARCHIV~1\NEWDOT~1\NEWDOT~2.DLL
c:\archivos de programa\newdotnet\newdotnet6_38.dll



Paso 6- Ejecuta Ewido Security Suite 3.5

Paso 7- Usa el Disk Cleaner para limpiar cookies y temporales y RegSeeker para limpiar el registro de Win.

Reinicia y nos contas los resultados.

Salu2

Bueno acabo de llegar de casa de la vecina

He hexo todo lo q me pusiste y la verdad es q ha ido muy bien, ha borrado bastantes malware y ahora ya le funciona el ordenador como es debido.

AUn le salen siempre 3 virus en el ewido pero mi parte ya esta hexa

Muxisimas gracias de veras !!!

Un saludo y un abrazo

Bueno como quieras, si queres que continuemos hasta sacar todo déjanos otro log en este mismo mensaje a ver que mas hay por ahi.

Y si no damos ya el tema por solucionado.

Salu2

PS//Por lo que veo o tu vecina no esta muy buena que digamos y tampoco te esta pagando por el servicio, verdad