Hola a todos. He probado el norton y el spybot para borrar el hclean32.exe y no hay manera. Los síntomas son los mismos que se describen por este foro. El mensaje de que mi ordenador está en riesgo y luego el mensaje ese de windows. El log tras pasar el HijackThis que me salió es el siguiente. Me podéis decir también en qué os basais para saber lo que hay que borrar???? gracias.

Logfile of HijackThis v1.97.2
Scan saved at 19:02:51, on 14/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\Archivos de programa\Norton Personal Firewall\NISUM.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\Archivos de programa\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\alg.exe
C:\Archivos de programa\Norton Personal Firewall\ccPxySvc.exe
C:\Archivos de programa\Norton SystemWorks 2003\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton SystemWorks 2003\Norton Utilities\NPROTECT.EXE
C:\ARCHIV~1\NORTON~3\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\ARCHIV~1\NORTON~3\NORTON~1\NAVW32.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
F:\eMule0.30a-sivka.v10a2b-bin\emule.exe
C:\DOCUME~1\JOSEMA~1\CONFIG~1\Temp\Rar$EX00.913\Hi jackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - {780CB09D-341E-4E45-9AC3-F722A98BACF2} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks 2003\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks 2003\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [LWBMOUSE] C:\Archivos de programa\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Archivos de programa\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Búsqueda en Google - res://c:\windows\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\windows\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Descargar TODO con FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Descargar usando FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\windows\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://c:\windows\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\windows\GoogleToolbar1.dll/cmbacklinks.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15014/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE3D5AA8-FAC0-4BDB-BEEB-266378A3189D}: NameServer = 85.255.113.122,85.255.112.13
O17 - HKLM\System\CCS\Services\Tcpip\..\{E891464D-B601-4C2C-B213-A455B989E944}: NameServer = 85.255.113.122,85.255.112.13
O17 - HKLM\System\CS2\Services\Tcpip\..\{AE3D5AA8-FAC0-4BDB-BEEB-266378A3189D}: NameServer = 85.255.113.122,85.255.112.13
O17 - HKLM\System\CS3\Services\Tcpip\..\{AE3D5AA8-FAC0-4BDB-BEEB-266378A3189D}: NameServer = 85.255.113.122,85.255.112.13

Hola!!!

Estas usando una versión vieja de HijackThis, así que descarga HijackThis 1.99.1 y deja un nuevo log como respuesta a este mensaje.

Saludos

OK, aquí está el nuevo log con esa versión. Gracias por la ayuda.. Pero lo que decía en el otro mensaje. Me gustaría saber cómo hacéis o en qué os basais para saber lo que tenemos que borrar con este programa. Espero que me podáis ayudar porque ya me tiene artito el hclean

Logfile of HijackThis v1.99.1
Scan saved at 23:14:27, on 15/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\Archivos de programa\Norton Personal Firewall\NISUM.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\Archivos de programa\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\alg.exe
C:\Archivos de programa\Norton Personal Firewall\ccPxySvc.exe
C:\Archivos de programa\Norton SystemWorks 2003\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton SystemWorks 2003\Norton Utilities\NPROTECT.EXE
C:\ARCHIV~1\NORTON~3\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - {780CB09D-341E-4E45-9AC3-F722A98BACF2} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks 2003\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks 2003\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [LWBMOUSE] C:\Archivos de programa\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Archivos de programa\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Búsqueda en Google - res://c:\windows\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\windows\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Descargar TODO con FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Descargar usando FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\windows\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://c:\windows\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\windows\GoogleToolbar1.dll/cmbacklinks.html
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15014/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE3D5AA8-FAC0-4BDB-BEEB-266378A3189D}: NameServer = 85.255.113.122,85.255.112.13
O17 - HKLM\System\CCS\Services\Tcpip\..\{E891464D-B601-4C2C-B213-A455B989E944}: NameServer = 85.255.113.122,85.255.112.13
O17 - HKLM\System\CS2\Services\Tcpip\..\{AE3D5AA8-FAC0-4BDB-BEEB-266378A3189D}: NameServer = 85.255.113.122,85.255.112.13
O17 - HKLM\System\CS3\Services\Tcpip\..\{AE3D5AA8-FAC0-4BDB-BEEB-266378A3189D}: NameServer = 85.255.113.122,85.255.112.13
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Archivos de programa\Norton Personal Firewall\ccPxySvc.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks 2003\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Archivos de programa\Norton Personal Firewall\NISUM.EXE
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks 2003\Norton Utilities\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~3\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

Hola!!!

Bueno, para aprender a interpretar logs de HijackThis primero tienes que tener claros muchos conceptos. Puedes empezar por leer este Manual.

Te recomiendo desinstalar FlashGet, ya que agrega adware.

Tu problema es que te hackearon el dominio y te cambiaron las DNS.

Ejecuta HijackThis con todos los programas cerrados y dale FIX:

R3 - URLSearchHook: (no name) - {780CB09D-341E-4E45-9AC3-F722A98BACF2} - (no file)

O17 - HKLM\System\CCS\Services\Tcpip\..\{AE3D5AA8-FAC0-4BDB-BEEB-266378A3189D}: NameServer = 85.255.113.122,85.255.112.13

O17 - HKLM\System\CCS\Services\Tcpip\..\{E891464D-B601-4C2C-B213-A455B989E944}: NameServer = 85.255.113.122,85.255.112.13

O17 - HKLM\System\CS2\Services\Tcpip\..\{AE3D5AA8-FAC0-4BDB-BEEB-266378A3189D}: NameServer = 85.255.113.122,85.255.112.13

O17 - HKLM\System\CS3\Services\Tcpip\..\{AE3D5AA8-FAC0-4BDB-BEEB-266378A3189D}: NameServer = 85.255.113.122,85.255.112.13

Luego reinicia. Es posible que no puedas conectar a internet, en tal caso haces lo siguiente:

Inicio-> Panel de Control-> Conexiones de red-> Clic derecho a tu conexión-> Propiedades-> Protocolo Internet (TCP/IP)-> Propiedaes-> Y donde dice "Usar las siguientes direcciones de servidor DNS" pones los DNS de tu proveedor de internet.

Finaliza con estos pasos:

- Pasa Ewido Online

- Limpia el registro con RegSeeker y pasa Ad-Aware actualizado.

- Elimina cookies y temporales con Disk Cleaner y vacía la papelera.

Reinicia y nos cunetas los resultados.

Saludos

Wenas. Aun no lo he hecho. Por los demás mensajes que he leido de otra gente supongo que esto que me dices lo deberé hacer en modo a prueba de fallos no?, y otra cosa, yo tengo ONO y lo de las DNS me las detecta automáticamente, por lo menos esa es la opción que ponía siempre. Aunque tu mensaje me ha hecho mirar esto y tengo activada la opción de introducir las DNS y tengo los números escritos. Haré lo que me cuentas y os contaré. Ta luego!!

No es necesario que lo hagas a prueba de fallos, pero si quieres hacerlo así tampoco hay problema.

En el caso de que obtengas la direccion del servidor DNS de forma automática, en lugar de poner las DNS de tu proveedor, selecciona la opción:

"Obtener la dirección del servidor DNS automáticamente"

Primero elimina los DNS que aparecen en las entradas O17 si es que siguen ahí cuando les des FIX.

Saludos