Hola a todos.

Tengo un problema, pues aparece de repente la pagina de barreraintegral.com con el "producto" spyware removal que salta desde esta url:

http://barreraintegral.com/alarma/index.php?0410525c11125502415a6701093e00466a565456 55135b10565857545057115f0310525c12156e520507005a5e 57500407155156590411035658544015050a0e555715020f58 00455644050a121515100672150522100520560117070b0752 5d060a56000c00434d505e554754274b565956515901471254 714052201541047d545602524757070a57501d512212125154 415b521c4d02571257570a0000120a21500154514003555257 4a47552515456a0206015c0d0f50025453

Logicamente no descargue el control activeX, pero persiste el avisito de alarma de infeccion en la barra del reloj.

Habia visto en el foro un problema similar, pero no aparecen las entradas referidas, dejo a ustedes este log para su analisis. Agradezco su ayuda

-----------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:16:42 p.m., on 27/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
D:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\RTHDCPL.EXE
D:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
D:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.EXE
D:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
D:\Archivos de programa\utorrent\utorrent.exe
D:\WINDOWS\system32\svchost.exe
D:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
D:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
D:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
D:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
D:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
D:\WINDOWS\system32\wuauclt.exe
D:\WINDOWS\system32\NOTEPAD.EXE
D:\Archivos de programa\Mozilla Firefox\firefox.exe
D:\Archivos de programa\MSN Messenger\usnsvc.exe
D:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
D:\Archivos de programa\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {93D4B563-8DFD-48D3-AE1F-12A9AB5A7CBB} - D:\WINDOWS\system32\consol.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "D:\Archivos de programa\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [avast!] D:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SpySweeper] "D:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [uTorrent] "D:\Archivos de programa\utorrent\utorrent.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ETB.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {15075194-6A1F-4F5A-8182-0FA84851E571} (GCCenterLauncherControl Control) - http://juegos.etb.net.co/GCCenter/GCCenterLauncher.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D17536D8-7CC0-475F-A4BE-82F1522F81EB}: NameServer = 200.75.51.132 200.75.51.133
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - D:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - D:\WINDOWS\System32\TuneUpDefragService.exe

Buenasss

Realiza los siguientes pasos en el orden que te los pongo:

1. Pasa por windows update y actualiza tu sistema
   
   
2. Apaga Restaurar Sistema
   
   
3. Activa ver archivos ocultos de sistema
   
   
4. Descarga las siguientes herramientas, actualiza las que correspondan, pero no las ejecutes aún
   
   
   • FileASSASSIN
   • AVG Antispyware
   • DiskCleaner
   • RegSeeker
   
   
5. Ejecuta la PC en modo seguro
   
   
6. Con todos los programas cerrados dale "Fix Checked" a estas entradas:
   
   O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
   O2 - BHO: (no name) - {93D4B563-8DFD-48D3-AE1F-12A9AB5A7CBB} - D:\WINDOWS\system32\consol.dll
   
   
7. Borra los siguientes archivos (si los encuentras), usa FileASSASSIN si no se dejan eliminar manualmente:
   
   D:\WINDOWS\system32\consol.dll
   
   
8. Escanea la Pc con AVG AntiSpyware
   
   
9. Pasa primero el DiskCleaner para limpiar cookies y temporales y luego el RegSeeker para limpiar el registro
   
   
10. Reinicia el equipo y escanea con Ewido Online
    
    
11. Instala SpywareBlaster
    
    
12. Peganos un nuevo reporte de HiJackThis en modo normal para ver como quedó y contanos como sigues con el problema

*Si quieres puedes imprimir las instrucciones para que te resulte mas facil seguirlas*

Saludos

Hola.

Bien, este es mi resultado despues del escaneo.

Vale dar una advertencia severa Y MUY SERIA sobre este malware: el FileASSASSIN no pudo eliminar el archivo consol.dll, por lo cual tuve que recurrir a un winXPe que abre desde CD. El archivo fue borrado en la raiz de windows/system32, pero el OBD sigue permanente, incluso despues de darle fix con el hijackthis.

Vale aclarar que suspendi el proceso explorer.exe para facilitarme la vida, pero sigue.

este es el log:

-----------------------------
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
D:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.EXE
D:\WINDOWS\system32\svchost.exe
D:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
D:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
D:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
D:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
D:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
D:\WINDOWS\System32\svchost.exe
D:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
D:\ARCHIV~1\MOZILL~1\FIREFOX.EXE
D:\WINDOWS\system32\taskmgr.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

OJO QUE ESTE ES EL QUE NO SE BORRA! YA LE DI VARIAS VECES Y NO SALE, INCLUSO EN MODO A PRUEBA DE FALLOS:

O2 - BHO: (no name) - {93D4B563-8DFD-48D3-AE1F-12A9AB5A7CBB} - D:\WINDOWS\system32\consol.dll (file missing)

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "D:\Archivos de programa\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [avast!] D:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SpySweeper] "D:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Archivos de programa\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "D:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Azureus SpeedUp Pro.lnk = D:\Archivos de programa\Azureus SpeedUp Pro\Azureus SpeedUp Pro.exe
O4 - Startup: ETB.lnk = ?
O4 - Global Startup: Azureus Vuze.lnk = D:\Archivos de programa\Azureus\Azureus.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {15075194-6A1F-4F5A-8182-0FA84851E571} (GCCenterLauncherControl Control) - http://juegos.etb.net.co/GCCenter/GCCenterLauncher.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{D17536D8-7CC0-475F-A4BE-82F1522F81EB}: NameServer = 200.75.51.132 200.75.51.133
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - D:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - D:\WINDOWS\System32\TuneUpDefragService.exe

Alguna idea? ya hice escaneo con el webroot spysweeper actualizado, limpie cookies y nada.

Buenasss

Ejecutá el ComboFix y peganos su reporte junto con un nuevo log. Realiza tambien otro escaneo con el AVG Antispy actualizado y SUPERAntispyware

Saludos