Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

El reporte sigue mostrando una infección bastante considerable, si la máquina muestra lentitud y/u otros síntomas no beneficiosos para el correcto funcionamiento, lo mas recomendable sería un formateo limpio, ya que los virus deben haber hecho de las suyas en tu sistema, no sin antes hacer una copia de respaldo de tus archivos mas importantes, pero si aún asi deseas intentarlo, debes seguir estos pasos:

- Tutorial de Eliminación del Spysheriff

- Descarga y ejecuta la herramienta CWShredder para eliminar el CoolWebSearch.

- Debes vaciar todo el contenido de la carpeta Archivos temporales de internet puedes hacerlo con el Disk Cleaner marcando todas las opciones o de manera manual en esta dirección:

C:\Documents and Settings\usuario\Configuración local\archivos temporales de internet\

No elimines la carpeta, lo que debes eliminar es todo el contenido.

Y haz lo mismo con la carpeta C:\WINDOWS\Downloaded Program Files verifica el contenido de esta y elimina los archivos que esta contiene a menos que tu confies plenamente en el funcionamiento de estos archivos.

- Busca y elimina estos archivos, si los encuentras, si no se dejan eliminar descarga el programa "Killbox" y sigue las indicaciones del mensaje, copia y pega los archivos para que los elimine al reiniciar:

C:\WINDOWS\gpinstall.exe
C:\WINDOWS\System32\appsj.exe
C:\WINDOWS\System32\atlmr32.exe
C:\WINDOWS\System32\pxsfs.dll
C:\WINDOWS\apppn32.exe
C:\WINDOWS\crpv32.exe
C:\WINDOWS\system32\criw.exe
C:\WINDOWS\atlyv32.exe
C:\WINDOWS\crnr32.exe
C:\WINDOWS\d3ib.exe
C:\WINDOWS\system32\ievt32.exe
C:\WINDOWS\system32\netmv32.exe
C:\WINDOWS\system32\crib.exe
C:\WINDOWS\system32\d3us.exe
C:\WINDOWS\crzf32.exe
C:\WINDOWS\system32\ipkz.exe
C:\WINDOWS\appvy32.exe
C:\WINDOWS\d3ug32.exe
C:\WINDOWS\ieco32.exe
C:\WINDOWS\ntjg32.exe
C:\WINDOWS\sdkgg.exe
C:\WINDOWS\system32\d3ov.exe
C:\WINDOWS\addir32.exe
C:\WINDOWS\d3zx32.exe
C:\WINDOWS\system32\sysog32.exe
C:\WINDOWS\system32\netrj.exe
C:\WINDOWS\system32\msqd32.exe
C:\WINDOWS\system32\mfcfx32.exe
C:\WINDOWS\system32\sdkoi32.exe
C:\WINDOWS\javaqr32.exe
C:\WINDOWS\winex32.exe
C:\WINDOWS\system32\addch32.exe
C:\WINDOWS\atlxh32.exe
C:\WINDOWS\apprz.exe
C:\WINDOWS\netpd32.exe
C:\WINDOWS\system32\syssv.exe
C:\WINDOWS\javaau.exe
C:\WINDOWS\mfccb.exe
C:\WINDOWS\wingr.exe
C:\WINDOWS\d3qf.exe
C:\WINDOWS\system32\d3qp32.exe
C:\WINDOWS\winyi.exe
C:\WINDOWS\system32\addjz.exe
C:\WINDOWS\appnw.exe
C:\WINDOWS\system32\apieh32.exe
C:\WINDOWS\sysvz32.exe
C:\WINDOWS\appei32.exe
C:\WINDOWS\system32\mfcfk.exe
C:\WINDOWS\appgt32.exe
C:\WINDOWS\system32\ntew.exe
C:\WINDOWS\system32\addcf32.exe
C:\WINDOWS\ipsi32.exe
C:\WINDOWS\sdkcr32.exe
C:\WINDOWS\ntxd.exe
C:\WINDOWS\system32\appsa32.exe
C:\WINDOWS\system32\netmm32.exe
C:\WINDOWS\atlqg.exe
C:\WINDOWS\system32\ievb32.exe
C:\WINDOWS\system32\netsm32.exe
C:\WINDOWS\addeo32.exe
C:\WINDOWS\system32\crck.exe
C:\WINDOWS\sdkga.exe
C:\WINDOWS\appok32.exe
C:\WINDOWS\system32\appkv32.exe
C:\WINDOWS\appne32.exe
C:\WINDOWS\atlxm32.exe
C:\WINDOWS\d3rc.exe
C:\WINDOWS\msah32.exe
C:\WINDOWS\winlx32.exe
C:\WINDOWS\apixv32.exe
C:\WINDOWS\atlit32.exe
C:\WINDOWS\system32\atlce32.exe
C:\WINDOWS\system32\sysjh.exe
C:\WINDOWS\system32\msrz.exe
C:\WINDOWS\system32\netbz.exe
C:\WINDOWS\addvy.exe
C:\WINDOWS\system32\sdkvf32.exe
C:\WINDOWS\system32\atldg.exe
C:\WINDOWS\system32\addjx.exe
C:\WINDOWS\system32\apivx.exe
C:\WINDOWS\ntni.exe
C:\WINDOWS\system32\ipox32.exe
C:\WINDOWS\system32\mfchc32.exe
C:\WINDOWS\appnm32.exe
C:\WINDOWS\sysiw32.exe
C:\WINDOWS\apiyv32.exe
C:\WINDOWS\system32\sysqn.exe
C:\WINDOWS\ntax32.exe
C:\WINDOWS\system32\crop.exe
C:\WINDOWS\system32\atlzp.exe
C:\WINDOWS\system32\winxa.exe
C:\WINDOWS\system32\iegm.exe
C:\WINDOWS\appmz.exe
C:\WINDOWS\system32\mfcll32.exe
C:\WINDOWS\system32\atlda32.exe
C:\WINDOWS\syslj32.exe
C:\WINDOWS\system32\mfcvg.exe
C:\WINDOWS\system32\d3dl.exe
C:\WINDOWS\winre.exe
C:\WINDOWS\sdkrs32.exe
C:\WINDOWS\mfcqx.exe
C:\WINDOWS\msxx32.exe
C:\WINDOWS\system32\applv.exe
C:\WINDOWS\system32\winci32.exe
C:\WINDOWS\system32\javawq32.exe
C:\WINDOWS\sdkkx.exe
C:\WINDOWS\mstm32.exe
C:\WINDOWS\ieip.exe
C:\WINDOWS\appay.exe
C:\WINDOWS\system32\addus.exe
C:\WINDOWS\atlbr.exe
C:\WINDOWS\apiwr32.exe
C:\WINDOWS\system32\sdkei.exe
C:\WINDOWS\atljs32.exe
C:\WINDOWS\iemx.exe
C:\WINDOWS\system32\mswr32.exe
C:\WINDOWS\system32\winuy.exe
C:\WINDOWS\ipfu.exe
C:\WINDOWS\system32\addgk.exe
C:\WINDOWS\d3lg32.exe
C:\WINDOWS\system32\netox32.exe

- Pasa el Regseeker para Limpiar el Registro, pásalo hasta q no quede nada para eliminar.

- Pasa el Ad-Aware SE y EWIDO actualizados.

- Reinicia la maquina y pega un log de Hijackthis para ver si ahora nos muestra algo, luego nos cuentas como te fue.

Saludos

No puedo seguir todos los pasos para eliminar el spysheriff. O faltan archivos o quedo alguna basura de cuando me infecte con spysheriff, y eso es lo que sale en el reporte.

El CWShredder lo pase y da resultado negativo.

El Regseeker. En un mensaje anterior te decia que me daba una ventana que decia "Indice de liste hors limites (0)"
Asi que no se.

Te dejo otro log para que me indiques que puedo borrar, ya que actualice el Explorer y tal vez ahora no se infecte nuevamente.

Logfile of HijackThis v1.99.1
Scan saved at 09:26:29 a.m., on 04/10/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\CA-80U\ADSL\CnxDslTb.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Archivos de programa\ESET\nod32kui.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Archivos de programa\DAP\DAPBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Archivos de programa\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\CA-80U\ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TotalRecorderScheduler] C:\Archivos de programa\HighCriteria\TotalRecorder\TotRecSched.ex e
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: PowerReg Scheduler.exe
O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm
O8 - Extra context menu item: Get Flash by &Arty Flash Ripper - C:\Archivos de programa\Softdigger\FlashRipper\IEMenu.htm
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\ARCHIV~1\DAP\DAP.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by107fd.bay107.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127583177029
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F193D860-B92C-4EC3-AB63-0086E9C9DCDB}: NameServer = 200.42.0.108 200.42.0.109
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

El log no muestra nada de peligro, pero aún no está limpio. Si la versión de DAP que tienes es la versión gratuita desinstálalo ya que trae adwares.
Desconozco cual sea el problema con el Regseeker pero intenta eliminar la carpeta que lo contiene y descargalo nuevamente e intenta de nuevo, si aún así el problema persiste intenta con otro limpiador de registo como el CCleaner, pero no me preguntes como funciona porque no lo he probado
Luego sigue estos pasos:

1.- Apaga el "Restaurar Sistema"

2.- Reinicia en Modo a Prueba de Fallos

3.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Archivos de programa\DAP\DAPBHO.dll

O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Archivos de programa\DAP\DAPIEBar.dll

O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm

O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\ARCHIV~1\DAP\DAP.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

4.- Sin reiniciar, busca y elimina estos archivos, si no se dejan eliminar descarga el programa "Killbox" y sigue las indicaciones del mensaje, copia y pega los archivos para que los elimine al reiniciar.

C:\WINDOWS\web\related.htm

5.- Pasa el Disk Cleaner para limpiar cookies y temporales

6.- Pasa el Regseeker para Limpiar el Registro, pásalo hasta q no quede nada para eliminar.

7.- Pasa el Ad-Aware SE actualizado e instala SpywareBlaster

8.- Reinicia la maquina y pega otro log de Hijackthis aqui mismo, luego nos cuentas como te fue.

De preferencia imprime las indicaciones para que se te haga mas facil seguirlas.

Saludos

Ok, acá encontre el Manual del CCleaner por cortesía de nuestro amigo Rocha.

Saludos

1- Yo no pedi el manual CCleaner. Seguro te confundiste.
2- Me decis que el ultimo log HJT no parece estar muy infectado, entonces como puede ser que el anterior log mwav que pegue, este tan infectado como me decis en un mensaje anterior, si no e hecho nada entre un log y otro?
3- Quiero reinstalar el service pack 1, pero la pagina de windows me envia a la pagina de windows update, e instala solo las actualizaciones. No sabes donde puedo bajar el service pack 1?
4- Puedo instalar el service pack 2 sin instalar el service pack 1 completo?
5- Puede ser que estas infecciones que tengo en la PC, de alguna forma me esten haciendo perder la mitad de velocidad en mi conexion ADSL? Antes podia bajar y subir a 60kB y ahora solo a 30kB.


Te dejo mi ultimo log:

Logfile of HijackThis v1.99.1
Scan saved at 03:49:04 p.m., on 04/10/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\CA-80U\ADSL\CnxDslTb.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Archivos de programa\ESET\nod32kui.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\CA-80U\ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TotalRecorderScheduler] C:\Archivos de programa\HighCriteria\TotalRecorder\TotRecSched.ex e
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: PowerReg Scheduler.exe
O8 - Extra context menu item: Get Flash by &Arty Flash Ripper - C:\Archivos de programa\Softdigger\FlashRipper\IEMenu.htm
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by107fd.bay107.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127583177029
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1128440464575
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F193D860-B92C-4EC3-AB63-0086E9C9DCDB}: NameServer = 200.42.0.108 200.42.0.109
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

No me confundí, como manifestabas problemas con el Regseeker te di como alternativa otro limpiador de registro como el CCleaner.

Si lees mi primer mensaje verás que te dije que el log no mostraba nada relevante, refiriéndome a tu primer log, este último log al igual que el primero no demuestra nada relevante, eso no indica que no estés infectado, ya que el MWAV demuestra la infección y los archivos infectados. ¿No eliminaste los archivos que te recomendé eliminar en mi anterior post?

Desinstala el Service Pack 1 y luego descarga el Service Pack 2 el sistema irá descargando los archivos necesarios para la actualización del sistema.

Es muy probable ya que el malware debe estar ocupando tu línea al estar ejecutándose en el sistema.

Saludos

1- Perdon. No sabia que el CCleaner era para mi.
2- En cuanto a desinstalar el SP1. Yo creo que lo instale hace mucho tiempo, pero al ir a Mi PC y cliquear en propiedades, veo que no figura como que el SP1 esta instalado. Pero en agregar o quitar programas, hay algunos que figuran como que son del SP1. Asi que no se que hacer.
Que puedo hacer? Estara instalado o no? Si instalo el SP2 sin que el SP1 este completamente instalado, puede haber problemas?
3- Ya he borrado todos los archivos que me indicaste. Pegare un nuevo log luego, tanto del Mwav como del HJT, para que lo veas.
4- Hay alguna forma de saber si realmente el malware esta "robandome" la mitad de mi conexion ADSL?

Gracias.

Hola. No se olviden de mi problema. No se si leiste lo ultimo, por eso vuelvo a escribir.

Gracias.

Saludos

Estaba esperando lo que me dijiste:
Saludos

Y yo esperaba que me contestaras las demas preguntas.

1- En cuantos a los service packs, no se por que, windows update me deja guardarme las actualizaciones, pero no los service packs. Dice que hay problemas con el numero de validacion de mi windows XP.

2- Me gustaria saber si hay forma de saber si el malware esta "robandome" la mitad de mi coneccion ADSL.

3- Aca te dejo los dos nuevos logs. El del HJT y el del Mwav:



Logfile of HijackThis v1.99.1
Scan saved at 02:18:37 p.m., on 06/10/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\CA-80U\ADSL\CnxDslTb.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ZoneLabs\vsmon.exe
C:\Archivos de programa\ESET\nod32kui.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\CA-80U\ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ccleaner] "C:\Archivos de programa\CCleaner\ccleaner.exe" /AUTO
O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: PowerReg Scheduler.exe
O8 - Extra context menu item: Get Flash by &Arty Flash Ripper - C:\Archivos de programa\Softdigger\FlashRipper\IEMenu.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by107fd.bay107.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127583177029
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1128440464575
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F193D860-B92C-4EC3-AB63-0086E9C9DCDB}: NameServer = 200.42.0.108 200.42.0.109
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe




El log de Mwav:


Thu Oct 06 14:21:39 2005 => ERROR!!! Invalid Entry Microsoft Update = muamgrd.exe (in key .DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion \Run). No Action Taken.
Thu Oct 06 14:21:39 2005 => ERROR!!! Invalid Entry NAV Auto Protect = navprotect.exe (in key .DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion \Run). No Action Taken.
Thu Oct 06 14:21:39 2005 => ERROR!!! Invalid Entry MS UniX = navupdate64.exe (in key .DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion \Run). No Action Taken.
Thu Oct 06 14:30:06 2005 => ERROR!!! Invalid Entry \SystemRoot\system32\drivers\av5flt.sys in SYSTEM\CurrentControlSet\Services\AvFlt...
Thu Oct 06 14:30:43 2005 => System found infected with spywareno!/spysheriff Commercial KeyLogger ({371d0743-7a57-11d2-ad5a-00105a17b608})! Action taken: No Action Taken.
Thu Oct 06 14:30:43 2005 => System found infected with spywareno!/spysheriff Commercial KeyLogger ({4f99a075-5227-11d2-ad06-00105a17b608})! Action taken: No Action Taken.
Thu Oct 06 14:30:44 2005 => System found infected with cws.homesearch Browser Hijacker ({6f52aa3b-3e87-c242-6ec0-23373b9c1426})! Action taken: No Action Taken.
Thu Oct 06 14:30:45 2005 => System found infected with smartfinder Spyware/Adware ({9331bd47-3ca2-b77d-8df9-1e8a3da4557f})! Action taken: No Action Taken.
Thu Oct 06 14:30:46 2005 => System found infected with spywareno!/spysheriff Commercial KeyLogger ({ca4fc24b-c65c-11d1-aa6f-000000000000})! Action taken: No Action Taken.
Thu Oct 06 14:30:46 2005 => System found infected with spywareno!/spysheriff Commercial KeyLogger ({ddd136ce-517b-11d2-ad03-00105a17b608})! Action taken: No Action Taken.
Thu Oct 06 14:30:47 2005 => System found infected with spywareno!/spysheriff Commercial KeyLogger ({e9d55102-9683-11d2-ba68-0040053687fe})! Action taken: No Action Taken.
Thu Oct 06 14:30:54 2005 => Offending Key found: HKLM\Software\gnu !!!
Thu Oct 06 14:30:54 2005 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Oct 06 14:30:54 2005 => Offending Key found: HKLM\Software\kazaa !!!
Thu Oct 06 14:30:54 2005 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Oct 06 14:30:54 2005 => Offending Key found: HKCU\Software\gnu !!!
Thu Oct 06 14:30:54 2005 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Oct 06 14:30:54 2005 => Offending Key found: HKCU\Software\kazaa !!!
Thu Oct 06 14:30:54 2005 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Oct 06 14:30:55 2005 => Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\bullseye network !!!
Thu Oct 06 14:30:55 2005 => Object "bargainbuddy Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Oct 06 14:30:58 2005 => Offending Folder found: C:\WINDOWS\DOWNLO~1\conflict.1
Thu Oct 06 14:30:58 2005 => Object "180solutions Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Oct 06 14:30:58 2005 => Offending file found: C:\WINDOWS\System32\dartsock.dll
Thu Oct 06 14:30:58 2005 => System found infected with spywareno!/spysheriff Commercial KeyLogger (dartsock.dll)! Action taken: No Action Taken.

Thu Oct 06 14:30:59 2005 => Offending file found: C:\WINDOWS\System32\usbmonit.exe
Thu Oct 06 14:30:59 2005 => System found infected with purityscan Spyware/Adware (usbmonit.exe)! Action taken: No Action Taken.

Thu Oct 06 14:31:51 2005 => Offending file found: C:\Documents and Settings\usuario\Menú Inicio\programas\inicio\powerreg scheduler.exe
Thu Oct 06 14:31:51 2005 => System found infected with powerreg scheduler Spyware/Adware (powerreg scheduler.exe)! Action taken: No Action Taken.

Thu Oct 06 14:31:51 2005 => Offending file found: C:\Documents and Settings\usuario\Menú Inicio\Programas\inicio\powerreg scheduler.exe
Thu Oct 06 14:31:51 2005 => System found infected with powerreg scheduler Spyware/Adware (powerreg scheduler.exe)! Action taken: No Action Taken.

Thu Oct 06 14:31:51 2005 => Offending file found: C:\Documents and Settings\usuario\Menú Inicio\Programas\Inicio\powerreg scheduler.exe
Thu Oct 06 14:31:51 2005 => System found infected with powerreg scheduler Spyware/Adware (powerreg scheduler.exe)! Action taken: No Action Taken.

Thu Oct 06 14:32:02 2005 => Offending file found: C:\Documents and Settings\usuario\Configuración local\archivos temporales de internet\content.ie5\20x4mi11\index[1].html
Thu Oct 06 14:32:02 2005 => System found infected with whenu.savenow Spyware/Adware (index[1].html)! Action taken: No Action Taken.

Thu Oct 06 14:32:10 2005 => Offending file found: C:\Documents and Settings\usuario\Configuración local\archivos temporales de internet\content.ie5\70pgoxuh\formie[1].css
Thu Oct 06 14:32:10 2005 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: No Action Taken.

Thu Oct 06 14:32:11 2005 => Offending file found: C:\Documents and Settings\usuario\Configuración local\archivos temporales de internet\content.ie5\70pgoxuh\global[1].js
Thu Oct 06 14:32:11 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken.

Thu Oct 06 14:32:12 2005 => Offending file found: C:\Documents and Settings\usuario\Configuración local\archivos temporales de internet\content.ie5\70pgoxuh\index[1].html
Thu Oct 06 14:32:12 2005 => System found infected with whenu.savenow Spyware/Adware (index[1].html)! Action taken: No Action Taken.

Thu Oct 06 14:32:19 2005 => Offending file found: C:\Documents and Settings\usuario\Configuración local\archivos temporales de internet\content.ie5\891239w6\formie[1].css
Thu Oct 06 14:32:19 2005 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: No Action Taken.

Thu Oct 06 14:32:19 2005 => Offending file found: C:\Documents and Settings\usuario\Configuración local\archivos temporales de internet\content.ie5\891239w6\index[1].html
Thu Oct 06 14:32:19 2005 => System found infected with whenu.savenow Spyware/Adware (index[1].html)! Action taken: No Action Taken.

Thu Oct 06 14:32:22 2005 => Offending file found: C:\Documents and Settings\usuario\Configuración local\archivos temporales de internet\content.ie5\g56vmfcz\index[1].html
Thu Oct 06 14:32:22 2005 => System found infected with whenu.savenow Spyware/Adware (index[1].html)! Action taken: No Action Taken.

Thu Oct 06 14:32:29 2005 => Offending file found: C:\Documents and Settings\usuario\Configuración local\Archivos temporales de Internet\content.ie5\20x4mi11\index[1].html
Thu Oct 06 14:32:29 2005 => System found infected with whenu.savenow Spyware/Adware (index[1].html)! Action taken: No Action Taken.

Thu Oct 06 14:32:29 2005 => Offending file found: C:\Documents and Settings\usuario\Configuración local\Archivos temporales de Internet\content.ie5\70pgoxuh\formie[1].css
Thu Oct 06 14:32:29 2005 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: No Action Taken.

Thu Oct 06 14:32:29 2005 => Offending file found: C:\Documents and Settings\usuario\Configuración local\Archivos temporales de Internet\content.ie5\70pgoxuh\global[1].js
Thu Oct 06 14:32:29 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken.

Thu Oct 06 14:32:29 2005 => Offending file found: C:\Documents and Settings\usuario\Configuración local\Archivos temporales de Internet\content.ie5\70pgoxuh\index[1].html
Thu Oct 06 14:32:29 2005 => System found infected with whenu.savenow Spyware/Adware (index[1].html)! Action taken: No Action Taken.

Thu Oct 06 14:32:29 2005 => Offending file found: C:\Documents and Settings\usuario\Configuración local\Archivos temporales de Internet\content.ie5\891239w6\formie[1].css
Thu Oct 06 14:32:29 2005 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: No Action Taken.

Thu Oct 06 14:32:29 2005 => Offending file found: C:\Documents and Settings\usuario\Configuración local\Archivos temporales de Internet\content.ie5\891239w6\index[1].html
Thu Oct 06 14:32:29 2005 => System found infected with whenu.savenow Spyware/Adware (index[1].html)! Action taken: No Action Taken.

Thu Oct 06 14:32:29 2005 => Offending file found: C:\Documents and Settings\usuario\Configuración local\Archivos temporales de Internet\content.ie5\g56vmfcz\index[1].html
Thu Oct 06 14:32:29 2005 => System found infected with whenu.savenow Spyware/Adware (index[1].html)! Action taken: No Action Taken.

Thu Oct 06 14:32:50 2005 => Offending file found: C:\WINDOWS\iun6002.exe
Thu Oct 06 14:32:50 2005 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken.

Thu Oct 06 14:34:03 2005 => Archivo C:\WINDOWS\System32\.pif infectado por "Trojan-Downloader.BAT.Ftp.z" Virus. Acción Tomada: No Action Taken.

Thu Oct 06 14:38:26 2005 => ***** Examen Completo. *****

Thu Oct 06 14:38:26 2005 => Archivos Examinados:: 38749
Thu Oct 06 14:38:26 2005 => Virus Encontrados:: 34
Thu Oct 06 14:38:26 2005 => Archivos Desinfectados:: 0
Thu Oct 06 14:38:26 2005 => Archivos Renombrados:: 0
Thu Oct 06 14:38:26 2005 => Archivos Eliminados:: 0
Thu Oct 06 14:38:26 2005 => Errores:: 23
Thu Oct 06 14:38:26 2005 => Tiempo Transcurrido:: 00:17:37
Thu Oct 06 14:38:26 2005 => Fecha de Base de Datos de Virus: 2005/09/27
Thu Oct 06 14:38:26 2005 => Conteo de Base de Datos de Virus: 151405

Thu Oct 06 14:38:26 2005 => Examen Completo.




Esto es todo por ahora. Espero que puedas solucionarme estos problemas que tiene mi PC.

Gracias.