holas antes k nada kiero k sepan k antes de poner el tema he seguido las sugerencias de otros usuarios kon el problema parecido al mio y en parte me ha funcionado. aclaro k soy nuevo en esto de los spys y la verdad les pediria por un poko de paciencia .las caracteristikas de lo k hay en mi pc son las siguientes espero k eso ayude)
1.-ha sido secuestrado el navegador kon un link k me lleva a la pagina de desinstalacion y k obviamente ofrece el software para desintalar dicho programa,kosa k no funciono .
2.-han sido instalados los siguientes programas ,search extender shooping wizard y home search assisttent k no se pueden kitar me dice k la pagina no se puede abrir
3.-esta en el escritorio un banner kon la leyenda en ingles k dice k mi sistema esta infectado ademas de dos iconos rojos en la parte inferior derecha del escritorio salenventanas no se de donde la koneccion esta muy lenta
baje los programas de task kill,hijack this ,regseker y spybot s&d y ejecute karsperski on line segui los pasos y desaparecio el banner del escritorio ademas de uno de los iconos rojos y recupere el navegador
pero hoy al enceder la pc el navegador habia sido secuestrado de nuevo les dejo el log para saber si mi pc tiene remedio (espero k si ) de antemano muchas gracias por su tiempo y konocimientos............. Logfile of HijackThis v1.99.1
Scan saved at 22:27:56, on 29/09/2005
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\msqq.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.exe
C:\WINNT\sm56hlpr.exe
C:\Archivos de programa\FaxTalk NetOnHold\FTNOHMgr.EXE
C:\Archivos de programa\Prodigy Hogar\phogar.exe
C:\WINNT\apilf.exe
C:\WINNT\mseval32.exe
C:\WINNT\System32\internat.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\winstall.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\annzy.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\annzy.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\annzy.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\annzy.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\annzy.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\annzy.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\annzy.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Prodigy Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: SponsorAdulto Class - {511F9316-771B-4953-A268-1C36DA667FE9} - C:\WINNT\Downloaded Program Files\sponsoradulto.dll
O2 - BHO: Class - {7B9DA930-4A86-6345-0433-A2118010CF1F} - C:\WINNT\appfd.dll
O2 - BHO: Class - {827A66FC-DD52-7904-94A6-D6A2E2EDE44E} - C:\WINNT\javafl32.dll
O2 - BHO: Class - {84529A5C-B253-705C-681D-C3BB3C1772BF} - C:\WINNT\ipaf32.dll
O2 - BHO: Class - {AB847C41-7B3D-5486-1C51-BE3AF6F7894D} - C:\WINNT\system32\atljl32.dll
O2 - BHO: Class - {CC2119B9-4821-8F24-E5B9-A0D7645063F3} - C:\WINNT\d3vn32.dll
O2 - BHO: Class - {EFBCE7C1-C680-BBEE-454E-DFA42474F991} - C:\WINNT\d3rc.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [NetOnHold] C:\Archivos de programa\FaxTalk NetOnHold\FTNOHMgr.EXE /autoload
O4 - HKLM\..\Run: [Prodigy Hogar] "C:\Archivos de programa\Prodigy Hogar\phogar.exe"
O4 - HKLM\..\Run: [apilf.exe] C:\WINNT\apilf.exe
O4 - HKLM\..\Run: [LocalNetwork] C:\WINNT\mseval32.exe
O4 - HKLM\..\RunServices: [[Win Xp] Personal Firewall] WinSyswal32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SNInstall] C:\winstall.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/k...an_unicode.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} -
O16 - DPF: {33331111-1111-1111-1111-611111193458} -
O16 - DPF: {33331111-1111-1111-1111-622221193458} -
O16 - DPF: {43331111-1111-1111-1111-611111195622} -
O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} (SponsorAdulto Class) - http://ip.sponsoradulto.com/cab/3/es...TelecomInt.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1127724615550
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF94BD91-0A83-4775-84CF-3288C988FE36}: NameServer = 200.33.146.194 200.33.146.202
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINNT\System32\vbsys2.dll
O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\msqq.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

Hola akarkis

Te damos la bienvenida al foro de InfoSpyware

Para que te sea mas cómodo seguir los pasos imprímelos

Recuerda pasar por Windows Update regularmente y mantener tu sistema actualizado.

Ahora sigue estos pasos para la reparación.

• ver archivos ocultos en todos los Windows

• Marca restaurar sistema solo en Win ME y XP

• Modo a prueba de fallos


Con todos los programas cerrados ejecuta el HijackThis y dale a estas entradas:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\annzy.dll/sp.html#37049

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\annzy.dll/sp.html#37049

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\annzy.dll/sp.html#37049

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\annzy.dll/sp.html#37049

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\annzy.dll/sp.html#37049

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\annzy.dll/sp.html#37049

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\annzy.dll/sp.html#37049

R3 - Default URLSearchHook is missing

O2 - BHO: SponsorAdulto Class - {511F9316-771B-4953-A268-1C36DA667FE9} - C:\WINNT\Downloaded Program Files\sponsoradulto.dll

O2 - BHO: Class - {7B9DA930-4A86-6345-0433-A2118010CF1F} - C:\WINNT\appfd.dll

O2 - BHO: Class - {827A66FC-DD52-7904-94A6-D6A2E2EDE44E} - C:\WINNT\javafl32.dll

O2 - BHO: Class - {84529A5C-B253-705C-681D-C3BB3C1772BF} - C:\WINNT\ipaf32.dll

O2 - BHO: Class - {AB847C41-7B3D-5486-1C51-BE3AF6F7894D} - C:\WINNT\system32\atljl32.dll

O2 - BHO: Class - {CC2119B9-4821-8F24-E5B9-A0D7645063F3} - C:\WINNT\d3vn32.dll

O2 - BHO: Class - {EFBCE7C1-C680-BBEE-454E-DFA42474F991} - C:\WINNT\d3rc.dll

O16 - DPF: {33331111-1111-1111-1111-611111193457} -

O16 - DPF: {33331111-1111-1111-1111-611111193458} -

O16 - DPF: {33331111-1111-1111-1111-622221193458} -

O16 - DPF: {43331111-1111-1111-1111-611111195622} -

O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} (SponsorAdulto Class) - http://ip.sponsoradulto.com/cab/3/e...bTelecomInt.cab

O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\msqq.exe


Sin reiniciar, busca y elimina estos archivos o carpetas:

C:\WINNT\system32\annzy.dll
C:\WINNT\Downloaded Program Files\sponsoradulto.dll
C:\WINNT\appfd.dll
C:\WINNT\javafl32.dll
C:\WINNT\ipaf32.dll
C:\WINNT\system32\atljl32.dll
C:\WINNT\d3vn32.dll
C:\WINNT\d3rc.dll
C:\WINNT\msqq.exe

En los casos en los que los nombres de las carpetas y sus rutas no aparezcan completos, ayúdate del explorador de windows para localizarlas.

Para archivos que no se dejen eliminar usa KillBox siguiendo las indicaciones del manual

Recuerda vaciar la papelera

• Reinicia en modo normal

Ahora instala y ejecuta estas otras aplicaciones:

• SpywareBlaster 3.4

• Ad-Aware 1.0.6

• Disk cleaner

• SpyBoot S.D

• Ewido

• RegSeeker. De este programa deberás usar principalmente la opción de «limpiar el registro»


• Los siguientes archivos los analizas en Virus Total y luego nos pones aqui los resultados.

C:\WINNT\apilf.exe
C:\WINNT\mseval32.exe
WinSyswal32.exe
C:\winstall.exe



Cuando termines nos pones un nuevo log y nos cuentas los resultados.

hola de nuevo ROCHA!!!antes k nada gracias por la atencion a mi mensaje
te escribo k segui los pasos k me sugeriste y hubo resultados recupere el navegador los iconos en la barra de tareas desaparecieron se desintalaron los programas k tenia en aghreagar y kitar programas a escepcion de uno k se llama search assistent ese no se kito y me siguen saliendo pop-ups o mensajes de propaganda ad emas de un cuadro de dialogo del so de win k dice k mi pc esta infectada estos archivos no los encontre
C:\WINNT\apilf.exe
C:\WINNT\mseval32.exe
WinSyswal32.exe
C:\winstall.exe
ni en el interprete de komandos ni en el explorador de windows
y de estos archivos k me dijiste k eliminara solo encontre uno mismo k elimine
C:\WINNT\system32\annzy.dll
C:\WINNT\Downloaded Program Files\sponsoradulto.dll
C:\WINNT\appfd.dll
C:\WINNT\javafl32.dll
C:\WINNT\ipaf32.dll
C:\WINNT\system32\atljl32.dll
C:\WINNT\d3vn32.dll
C:\WINNT\d3rc.dll
C:\WINNT\msqq.exe
solo encontre el primero y lo elimine te dejo mi log para k lo examines no sin antes agadecer de antemano tu valiosa ayuda gracias ...............
pd:el spybot s&d cuando lo intento ejecutar me dice k tengo k descargar las actualisaciones lo hago pero no se ejecuta el programa????'
Logfile of HijackThis v1.99.1
Scan saved at 23:47:57, on 03/10/2005
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\Archivos de programa\ewido\security suite\ewidoguard.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv50.exe
C:\WINNT\system32\MSTask.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.exe
C:\WINNT\sm56hlpr.exe
C:\WINNT\System32\WinSyswal32.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\WINNT\System32\internat.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINNT\atlft.exe
C:\WINNT\system32\addpr.exe
C:\Archivos de programa\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ylyyq.dll/sp.html#12047
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ylyyq.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\ylyyq.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ylyyq.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ylyyq.dll/sp.html#12047
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ylyyq.dll/sp.html#12047
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ylyyq.dll/sp.html#12047
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Prodigy Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: (no name) - {52F9DA6D-F58F-FBA4-E16D-53896059130D} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {682EFC5E-EBB3-9A99-5152-BDAA5699E118} - (no file)
O2 - BHO: Class - {B9120930-0CC0-BC8A-13BA-56A79570BAC6} - C:\WINNT\winjf32.dll
O2 - BHO: (no name) - {C91DBD5B-05BC-A516-7339-7E7FD1A2BF72} - (no file)
O2 - BHO: (no name) - {CADEE425-E687-F21D-B6F1-65404EB52B33} - (no file)
O2 - BHO: (no name) - {E5C5B51E-E150-09D6-7668-766D1EB618E1} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [LocalNetwork] C:\WINNT\mseval32.exe
O4 - HKLM\..\Run: [[Win Xp] Personal Firewall] WinSyswal32.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [addpr.exe] C:\WINNT\system32\addpr.exe
O4 - HKLM\..\RunServices: [[Win Xp] Personal Firewall] WinSyswal32.exe
O4 - HKLM\..\RunOnce: [atlft.exe] C:\WINNT\atlft.exe
O4 - HKLM\..\RunOnce: [UpConfgVer] C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\UpgConf.exe /v:7.04.01
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Microsoft Features] Winmgr.exe
O4 - HKCU\..\Run: [[Win Xp] Personal Firewall] WinSyswal32.exe
O4 - HKCU\..\RunServices: [Microsoft Features] Winmgr.exe
O4 - Startup: Disk Cleaner.lnk = C:\Archivos de programa\Disk Cleaner\dclean.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1127724615550
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF94BD91-0A83-4775-84CF-3288C988FE36}: NameServer = 200.33.146.194 200.33.146.202
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file)
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - - (no file)
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv50.exe

Para que te sea mas cómodo seguir los pasos imprímelos

Como te abras dado cuenta, en el primer log teniamos como dll. a C:\WINNT\system32\annzy.dll en este segundo log tenemos como dll. a C:\WINNT\system32\ylyyq.dll en las entradas R1 y R0, posiblemente ahora cuando estes mirando esta respuesta tengas otra dll. lo que tienes que hacer es eliminar las entradas que te he marcado y se repita la .dll/sp.html#numero

Recuerda pasar por Windows Update regularmente y mantener tu sistema actualizado.

Ahora sigue estos pasos para la reparación.

• ver archivos ocultos en todos los Windows

• Marca restaurar sistema solo en Win ME y XP

• Descarga el programa about:Buster 5.0, actualízalo pero no lo ejecutes aun.

• Modo a prueba de fallos


Con todos los programas cerrados ejecuta el HijackThis y dale a estas entradas:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ylyyq.dll/sp.html#12047

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ylyyq.dll/sp.html#12047

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\ylyyq.dll/sp.html#12047

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ylyyq.dll/sp.html#12047

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ylyyq.dll/sp.html#12047

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ylyyq.dll/sp.html#12047

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ylyyq.dll/sp.html#12047

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {52F9DA6D-F58F-FBA4-E16D-53896059130D} - (no file)

O2 - BHO: (no name) - {682EFC5E-EBB3-9A99-5152-BDAA5699E118} - (no file)

O2 - BHO: Class - {B9120930-0CC0-BC8A-13BA-56A79570BAC6} - C:\WINNT\winjf32.dll

O2 - BHO: (no name) - {C91DBD5B-05BC-A516-7339-7E7FD1A2BF72} - (no file)

O2 - BHO: (no name) - {CADEE425-E687-F21D-B6F1-65404EB52B33} - (no file)

O2 - BHO: (no name) - {E5C5B51E-E150-09D6-7668-766D1EB618E1} - (no file)

O4 - HKLM\..\Run: [[Win Xp] Personal Firewall] WinSyswal32.exe

O4 - HKLM\..\Run: [addpr.exe] C:\WINNT\system32\addpr.exe

O4 - HKLM\..\RunServices: [[Win Xp] Personal Firewall] WinSyswal32.exe

O4 - HKLM\..\RunOnce: [atlft.exe] C:\WINNT\atlft.exe

O4 - HKCU\..\Run: [Microsoft Features] Winmgr.exe

O4 - HKCU\..\Run: [[Win Xp] Personal Firewall] WinSyswal32.exe

O4 - HKCU\..\RunServices: [Microsoft Features] Winmgr.exe

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file)

O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - - (no file)


Sin reiniciar, busca y elimina estos archivos o carpetas:

C:\WINNT\system32\ylyyq.dll
C:\WINNT\winjf32.dll
WinSyswal32.exe
C:\WINNT\system32\addpr.exe
C:\WINNT\atlft.exe
Winmgr.exe

En los casos en los que los nombres de las carpetas y sus rutas no aparezcan completos, ayúdate del explorador de windows para localizarlas.

Para archivos que no se dejen eliminar usa KillBox siguiendo las indicaciones del manual

Recuerda vaciar la papelera

• Reinicia en modo normal

Ejecuta estas otras aplicaciones:

• Ad-Aware 1.0.6

• Disk cleaner

• SpyBoot S.D

• Ewido --> de este me pegas el log que genera.

• RegSeeker. De este programa deberás usar principalmente la opción de «limpiar el registro»


• Los siguientes archivos los analizas en Virus Total y luego nos pones aqui los resultados.

C:\WINNT\mseval32.exe



Cuando termines nos pones un nuevo log y nos cuentas los resultados.

perdon no se k pase pero al kerer descargar el about buster me sale esto
the database is eiter corrupted or missing please dowload one more

Intentalo de nuevo por favor, yo lo he intentado y no me a dado ningun problema.

saludos akarkis

hola rocha komo tu sabes no pude descargar el about buster por mas k le intente me decia lo mismo a la hora de kerer ejecutarlo me salia k el sistema estaba korrompido y k descargara otro pero no se pudo segui los demas pasos y hubo resultados ya no hay pop-ups el navegador lo recupere se desinstalo por completo el search assistent en fin kreo k ya esta linpio el sistema te dejo el log para k lo veas y me digas k me falta por hacer
gracias por tu valiosa ayuda
atte akarkis
pd:¿k es eso de :no file no name??'
Logfile of HijackThis v1.99.1
Scan saved at 0:34:49, on 06/10/2005
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\Archivos de programa\ewido\security suite\ewidoguard.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv50.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.exe
C:\WINNT\sm56hlpr.exe
C:\WINNT\System32\internat.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.infospyware.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.yahoo.com.mx
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Prodigy Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: (no name) - {0E64CD2A-7963-0DBD-F99C-197FEC4945BA} - (no file)
O2 - BHO: (no name) - {22AAF0B4-F469-726F-2821-62C3D1009C92} - (no file)
O2 - BHO: (no name) - {32D47B6F-6A36-004D-61F4-E67738C866C8} - (no file)
O2 - BHO: (no name) - {35142512-904A-E2FD-E938-6D911A9B6571} - (no file)
O2 - BHO: (no name) - {52F9DA6D-F58F-FBA4-E16D-53896059130D} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {682EFC5E-EBB3-9A99-5152-BDAA5699E118} - (no file)
O2 - BHO: (no name) - {7A9291C3-5147-E2F6-4EA8-632FCD350883} - (no file)
O2 - BHO: (no name) - {7B26ED79-1676-F6C7-822F-F98519849A9A} - (no file)
O2 - BHO: (no name) - {818EF02C-338B-89AF-1F6B-F83DCBFEE737} - (no file)
O2 - BHO: (no name) - {86986EAA-DBD5-EC6D-97E0-70E4D55C338F} - (no file)
O2 - BHO: (no name) - {89627CE2-166D-A5B3-715F-9AA1D5BCB786} - (no file)
O2 - BHO: (no name) - {91F34869-3E88-B11B-FD29-982F9566BF05} - (no file)
O2 - BHO: (no name) - {940ED764-3A0B-1CA1-3A6D-6230CE5CF0A5} - (no file)
O2 - BHO: (no name) - {A15236D6-7DB2-F233-11D4-3A5148E874BD} - (no file)
O2 - BHO: (no name) - {A8BA2D91-35D0-C8BE-0E34-651316818D29} - (no file)
O2 - BHO: (no name) - {B0066A49-25A1-F3C5-675E-B309D506E874} - (no file)
O2 - BHO: (no name) - {B9120930-0CC0-BC8A-13BA-56A79570BAC6} - (no file)
O2 - BHO: (no name) - {C91DBD5B-05BC-A516-7339-7E7FD1A2BF72} - (no file)
O2 - BHO: (no name) - {CADEE425-E687-F21D-B6F1-65404EB52B33} - (no file)
O2 - BHO: (no name) - {E5C5B51E-E150-09D6-7668-766D1EB618E1} - (no file)
O2 - BHO: (no name) - {E7D50565-6F68-DF60-6775-F22760207DCF} - (no file)
O2 - BHO: (no name) - {E9121F3B-3009-7376-CADA-478744C7CC05} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [LocalNetwork] C:\WINNT\mseval32.exe
O4 - HKLM\..\Run: [[Win Xp] Personal Firewall] WinSyswal32.exe
O4 - HKLM\..\RunServices: [[Win Xp] Personal Firewall] WinSyswal32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Microsoft Features] Winmgr.exe
O4 - HKCU\..\Run: [[Win Xp] Personal Firewall] WinSyswal32.exe
O4 - HKCU\..\RunServices: [Microsoft Features] Winmgr.exe
O4 - Startup: Disk Cleaner.lnk = C:\Archivos de programa\Disk Cleaner\dclean.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127724615550
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF94BD91-0A83-4775-84CF-3288C988FE36}: NameServer = 200.33.146.194 200.33.146.202
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file)
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - (no file)
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv50.exe

Para que te sea mas cómodo seguir los pasos imprímelos

Recuerda pasar por Windows Update regularmente y mantener tu sistema actualizado.

Ahora sigue estos pasos para la reparación.

• ver archivos ocultos en todos los Windows

• Marca restaurar sistema solo en Win ME y XP

• Modo a prueba de fallos


Con todos los programas cerrados ejecuta el HijackThis y dale a estas entradas:

O2 - BHO: (no name) - {0E64CD2A-7963-0DBD-F99C-197FEC4945BA} - (no file)

O2 - BHO: (no name) - {22AAF0B4-F469-726F-2821-62C3D1009C92} - (no file)

O2 - BHO: (no name) - {32D47B6F-6A36-004D-61F4-E67738C866C8} - (no file)

O2 - BHO: (no name) - {35142512-904A-E2FD-E938-6D911A9B6571} - (no file)

O2 - BHO: (no name) - {52F9DA6D-F58F-FBA4-E16D-53896059130D} - (no file)

O2 - BHO: (no name) - {682EFC5E-EBB3-9A99-5152-BDAA5699E118} - (no file)

O2 - BHO: (no name) - {7A9291C3-5147-E2F6-4EA8-632FCD350883} - (no file)

O2 - BHO: (no name) - {7B26ED79-1676-F6C7-822F-F98519849A9A} - (no file)

O2 - BHO: (no name) - {818EF02C-338B-89AF-1F6B-F83DCBFEE737} - (no file)

O2 - BHO: (no name) - {86986EAA-DBD5-EC6D-97E0-70E4D55C338F} - (no file)

O2 - BHO: (no name) - {89627CE2-166D-A5B3-715F-9AA1D5BCB786} - (no file)

O2 - BHO: (no name) - {91F34869-3E88-B11B-FD29-982F9566BF05} - (no file)

O2 - BHO: (no name) - {940ED764-3A0B-1CA1-3A6D-6230CE5CF0A5} - (no file)

O2 - BHO: (no name) - {A15236D6-7DB2-F233-11D4-3A5148E874BD} - (no file)

O2 - BHO: (no name) - {A8BA2D91-35D0-C8BE-0E34-651316818D29} - (no file)

O2 - BHO: (no name) - {B0066A49-25A1-F3C5-675E-B309D506E874} - (no file)

O2 - BHO: (no name) - {B9120930-0CC0-BC8A-13BA-56A79570BAC6} - (no file)

O2 - BHO: (no name) - {C91DBD5B-05BC-A516-7339-7E7FD1A2BF72} - (no file)

O2 - BHO: (no name) - {CADEE425-E687-F21D-B6F1-65404EB52B33} - (no file)

O2 - BHO: (no name) - {E5C5B51E-E150-09D6-7668-766D1EB618E1} - (no file)

O2 - BHO: (no name) - {E7D50565-6F68-DF60-6775-F22760207DCF} - (no file)

O2 - BHO: (no name) - {E9121F3B-3009-7376-CADA-478744C7CC05} - (no file)

O4 - HKLM\..\Run: [[Win Xp] Personal Firewall] WinSyswal32.exe

O4 - HKLM\..\RunServices: [[Win Xp] Personal Firewall] WinSyswal32.exe

O4 - HKCU\..\Run: [Microsoft Features] Winmgr.exe

O4 - HKCU\..\Run: [[Win Xp] Personal Firewall] WinSyswal32.exe

O4 - HKCU\..\RunServices: [Microsoft Features] Winmgr.exe

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file)


Sin reiniciar, busca y elimina estos archivos o carpetas:

WinSyswal32.exe
Winmgr.exe

En los casos en los que los nombres de las carpetas y sus rutas no aparezcan completos, ayúdate del explorador de windows para localizarlas.

Para archivos que no se dejen eliminar usa KillBox siguiendo las indicaciones del manual

Recuerda vaciar la papelera

• Reinicia en modo normal

• Analiza tu sistema con Ewido online

Ejecuta estas otras aplicaciones:

• Disk cleaner

• RegSeeker. De este programa deberás usar principalmente la opción de «limpiar el registro»


• Los siguientes archivos los analizas en Virus Total y luego nos pones aqui los resultados.

C:\WINNT\mseval32.exe



Cuando termines nos pones un nuevo log y nos cuentas los resultados por favor

hola de nuevo ROCHA!!!!!!!bueno te komento los resultados de tus indicaciones !!!!!!!!!!kreo k esta limpio el sitema!!!!!! agradesco de antemano tu valioso apoyo dolo una pregunta por k el panda me avisa k msval32.exe esta intentando entrar a la red es esto malo k es msval32.exe???te dejo mi log para k me digas komo esta mi pc gracias de nuevo!!!
Logfile of HijackThis v1.99.1
Scan saved at 16:14:12, on 06/10/2005
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv50.exe
C:\WINNT\system32\MSTask.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.exe
C:\WINNT\sm56hlpr.exe
C:\WINNT\mseval32.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\WINNT\System32\internat.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.infospyware.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.yahoo.com.mx
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Prodigy Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: UserInit=userinit.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [LocalNetwork] C:\WINNT\mseval32.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Disk Cleaner.lnk = C:\Archivos de programa\Disk Cleaner\dclean.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1127724615550
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF94BD91-0A83-4775-84CF-3288C988FE36}: NameServer = 200.33.146.194 200.33.146.202
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv50.exe

Buena pregunta...porque razón crees que te he pedido dos veces que...

cuando puedas me pones aqui los resultados...de C:\WINNT\mseval32.exe por favor.