Buenas. Mi problema es que tanto al iniciar windows como posteriormente se me abren automaticamente paginas de internet, y mensajes de publicidad ofreciendome descargar programas etc, ademas encontre en mi ordenador algunos archivos de este tipo que no me deja desinstalar. Segui los pasos que se dan en este foro y el nº de problemas se han reducido pero todavia no se ha solucionado, asi que aqui pongo mi log a ver si me podeis ayudar:


Logfile of HijackThis v1.99.1
Scan saved at 13:49:59, on 29/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\spoollv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\cmd.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\Mario\Configuración local\Temp\Directorio temporal 1 para HijackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Windows ASN Service] hxh.exe
O4 - HKLM\..\Run: [SWOD] C:\WINDOWS\exe82.exe
O4 - HKLM\..\Run: [elos] C:\WINDOWS\exe82.exe
O4 - HKLM\..\Run: [MS Sys Security] mswin.pif
O4 - HKLM\..\RunServices: [Windows ASN Service] hxh.exe
O4 - HKLM\..\RunServices: [MS Sys Security] mswin.pif
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MS Sys Security] mswin.pif
O4 - HKCU\..\RunServices: [MS Sys Security] mswin.pif
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127991096594
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\microsoft.exe
O23 - Service: spool - Unknown owner - C:\WINDOWS\spoollv.exe

Hola , te doy la bienvenida al Foro de InfoSpyware.

Seguí estos pasos para: Eliminar Rdriv.sys Hacktool.Rootkit usando la herramienta Rd-Kill.bat

Después nos comentas los resultados en este mismo mensaje.

Salu2

Pues he seguido esos pasos, pero ninguno de los archivos que debia eliminar con esos programas estaba, aun asi segui los pasos hasta el final pero el problema sigue igual, os pongo el nuevo log por si ha cambiado algo. Saludos

Logfile of HijackThis v1.99.1
Scan saved at 22:36:52, on 29/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\spoollv.exe
C:\WINDOWS\etb\pokapoka70.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\tcpippui32.exe
C:\Documents and Settings\Mario\Configuración local\Temp\Directorio temporal 1 para HijackThis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.971searchbox.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.971searchbox.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.971searchbox.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Windows ASN Service] hxh.exe
O4 - HKLM\..\Run: [SWOD] C:\WINDOWS\exe82.exe
O4 - HKLM\..\Run: [elos] C:\WINDOWS\exe82.exe
O4 - HKLM\..\Run: [MS Sys Security] mswin.pif
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [System service70] C:\WINDOWS\etb\pokapoka70.exe
O4 - HKLM\..\Run: [tcpippui32] tcpippui32.exe
O4 - HKLM\..\RunServices: [Windows ASN Service] hxh.exe
O4 - HKLM\..\RunServices: [MS Sys Security] mswin.pif
O4 - HKLM\..\RunServices: [tcpippui32] tcpippui32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MS Sys Security] mswin.pif
O4 - HKCU\..\RunServices: [MS Sys Security] mswin.pif
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127991096594
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\microsoft.exe
O23 - Service: spool - Unknown owner - C:\WINDOWS\spoollv.exe

Hola, seguí estos pasos.

Paso 1- Apaga el "Restaurar Sistema"

Paso 2- Descarga el programa Rd-Kill.zip y descomprímalo en el escritorio de Win pero aun no lo ejecutes.

Paso 3- Reinicie eh inicie en "Modo a prueba de fallos" (modo seguro)


Paso 4- Con todos los programas cerrados ejecutar el archivo Rd-Kill.bat, este va a abrir una ventana verde con la informacion del programa donde tienes que apretar cualquier tecla para que este continué y elimine el parásito.

Paso 5- Descarga tambien y ejecuta las herramientas DelEliteB.zip y TZ-Kill.bat


Paso 6-Con todos los programas cerrados ejecuta el HijackThis y dale a estas entradas:


R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.971searchbox.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.971searchbox.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.971searchbox.com/sp2.php

O4 - HKLM\..\Run: [Windows ASN Service] hxh.exe
O4 - HKLM\..\Run: [SWOD] C:\WINDOWS\exe82.exe
O4 - HKLM\..\Run: [elos] C:\WINDOWS\exe82.exe
O4 - HKLM\..\Run: [MS Sys Security] mswin.pif
O4 - HKLM\..\Run: [System service70] C:\WINDOWS\etb\pokapoka70.exe
O4 - HKLM\..\Run: [tcpippui32] tcpippui32.exe

O4 - HKLM\..\RunServices: [Windows ASN Service] hxh.exe
O4 - HKLM\..\RunServices: [MS Sys Security] mswin.pif
O4 - HKLM\..\RunServices: [tcpippui32] tcpippui32.exe

O4 - HKCU\..\Run: [MS Sys Security] mswin.pif

O4 - HKCU\..\RunServices: [MS Sys Security] mswin.pif

O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com

O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\microsoft.exe
O23 - Service: spool - Unknown owner - C:\WINDOWS\spoollv.exe


Paso 7- Sin reiniciar con el programa "KillBox" elimina estos archivos:

C:\WINDOWS\System32\mswin.pif
C:\WINDOWS\exe82.exe
C:\WINDOWS\etb\pokapoka70.exe
C:\WINDOWS\microsoft.exe
C:\WINDOWS\spoollv.exe

Paso 8- Usar el Disk Cleaner para limpiar cookies y temporales.

Reinicia y nos contas los resultados.

Salu2

Bueno, pues despues de hacer lo que me has dicho, algun mensaje ha desaparecido, pero me sigue apareciendo una barra de publicidad en el explorer, y me siguen apareciendo algunas ventanas de publicidad, asi que pongo el nuevo log a ver que se puede hacer. Saludos

Logfile of HijackThis v1.99.1
Scan saved at 17:37:17, on 30/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\System32\win.pif
C:\WINDOWS\System32\msgame32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\etb\pokapoka70.exe
C:\WINDOWS\system32\cmd.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\Mario\CONFIG~1\Temp\Rar$EX00.103\Hijac kThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Windows Security] win.pif
O4 - HKLM\..\Run: [Microsoft Windows Game Updater] msgame32.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\eliteitx32.exe
O4 - HKLM\..\Run: [System service70] C:\WINDOWS\etb\pokapoka70.exe
O4 - HKLM\..\RunServices: [Windows Security] win.pif
O4 - HKLM\..\RunServices: [Microsoft Windows Game Updater] msgame32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows Security] win.pif
O4 - HKCU\..\RunServices: [Windows Security] win.pif
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127991096594
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

Bien el tema es que tenes dos malwares diferentes y en sus nuevas variantes.

Primero descarga nuevamente las versiones actualizadas al dia de hoy de Rd-Kill.bat y DelEliteB.bat los cuales fueron actualizados con tu caso.

Inicia el PC en modo a prueba de fallos y ejecuta ambas herramientas.

Sin reiniciar pasa HijackThis y en caso de tener alguna de estas entradas le das FIX

O4 - HKLM\..\Run: [Windows Security] win.pif
O4 - HKLM\..\Run: [Microsoft Windows Game Updater] msgame32.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\eliteitx32.exe
O4 - HKLM\..\Run: [System service70] C:\WINDOWS\etb\pokapoka70.exe

O4 - HKLM\..\RunServices: [Windows Security] win.pif
O4 - HKLM\..\RunServices: [Microsoft Windows Game Updater] msgame32.exe

O4 - HKCU\..\Run: [Windows Security] win.pif
O4 - HKCU\..\RunServices: [Windows Security] win.pif

Con KillBox pone a eliminar estos archivos:

C:\WINDOWS\System32\msgame32.exe
C:\WINDOWS\etb\pokapoka70.exe

Ejecuta nuevamente las herramientas Rd-Kill.bat y DelEliteB.bat

Reinicia en modo normal y hacele un análisis online con "Ewido Scanner Online"

Y nos contas los resultados.

Salu2