Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola...
Tengo este troyano en 2 pc.
He seguido todos los pasos que aparecen en los foros para eliminar este troyano pero nada resulta. Los analicé en línea, he usado el Disk Cleaner, etc.

Tengo Instalado en ambos pc el AVG, este lo decta en WINNT/SYSTEM32/mndvv.dll (en el pc1) y WINNT/SYSTEM32/nqjaf.dll (en el pc 2), el antivirus lo detecta cada vez que uso el IE y aparecen los archivos mencionados.
Cambia la pagina de inicio de IE por about:blank, aparece un programa llamado Fight Spyware y envia publicidad. Esto síntomas son de ambos pc.

Aquí envío el LOG del PC 1 para que me ayuden:
Gracias de antemano.

Logfile of HijackThis v1.99.1
Scan saved at 17:02:34, on 20-10-2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\system32\addsg32.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\ARCHIV~1\ROCKWE~1\RSCOMMON\RSOBSERV.EXE
C:\MATLAB7\webserver\bin\win32\matlabserver.exe
C:\MSSQL7\binn\sqlservr.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\nvsvc32.exe
C:\Archivos de programa\Archivos comunes\OPC Foundation\OPCENUM.EXE
C:\WINNT\system32\regsvc.exe
C:\ARCHIV~1\ROCKWE~1\RSLINX\RSLINX.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\mqsvc.exe
C:\WINNT\System32\NVATray.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\MSSQL7\Binn\sqlmangr.exe
C:\WINNT\system32\winbn32.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\mndvv.dll/sp.html#17702
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\mndvv.dll/sp.html#17702
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\mndvv.dll/sp.html#17702
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\mndvv.dll/sp.html#17702
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\mndvv.dll/sp.html#17702
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\mndvv.dll/sp.html#17702
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\mndvv.dll/sp.html#17702
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://es.rd.yahoo.com/customize/ie/...arch.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {75DD9E15-5389-2B5B-4E5F-CC69934230B5} - C:\WINNT\system32\ieba32.dll
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [ipth32.exe] C:\WINNT\system32\ipth32.exe
O4 - HKLM\..\Run: [winab32.exe] C:\WINNT\system32\winab32.exe
O4 - HKLM\..\Run: [winbn32.exe] C:\WINNT\system32\winbn32.exe
O4 - Global Startup: Administrador de servicios.lnk = C:\MSSQL7\Binn\sqlmangr.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Norton AntiVirus AutoProtect.lnk = C:\Archivos de programa\Navnt\navapw32.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/k...an_unicode.cab
O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - http://www.icdl.cl/practice/wp/awswaxf.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {CF536851-39E4-4FB4-AB71-50D539C52CFC} (ClbrAppShell.ctlShell) - http://www.chileriego.cl/cab/ClbrAppShell.CAB
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\system32\addsg32.exe
O23 - Service: 1784-PCIDS DeviceNet - Rockwell Automation - C:\Archivos de programa\Rockwell Software\RSLogix Emulate 5000\PcidsService.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: dnWhoDisp - Unknown owner - C:\Archivos de programa\Rockwell Software\RSLINX\dnwhodisp.exe
O23 - Service: Harmony - Rockwell Software Inc. - C:\ARCHIV~1\ROCKWE~1\RSCOMMON\RSOBSERV.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB7\webserver\bin\win32\matlabserver.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: OPCEnum - Unknown owner - C:\Archivos de programa\Archivos comunes\OPC Foundation\OPCENUM.EXE
O23 - Service: RSLinx - Rockwell Software, Inc. - C:\ARCHIV~1\ROCKWE~1\RSLINX\RSLINX.EXE
O23 - Service: 1789-SIM Simulator Module (SimModuleService) - Unknown owner - C:\Archivos de programa\Rockwell Software\RSLogix Emulate 5000\SimModuleService.exe



Este es el log del PC 2:

**Log Borrado por Moderador**

Hola y bienvenido al foro, por favor pega un log a la vez ya que se enredarían las respuestas, una vez solucionado el primer caso abre otro tema especificando que se trata de otra máquina.

No te olvides de pasar por WindowsUpdate periódicamente para tener actualizado el sistema, luego sigue estos pasos:

1.- Apaga el "Restaurar Sistema"

2.- Reinicia en Modo a Prueba de Fallos

3.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\mndvv.dll/sp.html#17702
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\mndvv.dll/sp.html#17702
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\mndvv.dll/sp.html#17702
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\mndvv.dll/sp.html#17702
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\mndvv.dll/sp.html#17702
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\mndvv.dll/sp.html#17702
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\mndvv.dll/sp.html#17702

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {75DD9E15-5389-2B5B-4E5F-CC69934230B5} - C:\WINNT\system32\ieba32.dll

O4 - HKLM\..\Run: [ipth32.exe] C:\WINNT\system32\ipth32.exe

O4 - HKLM\..\Run: [winab32.exe] C:\WINNT\system32\winab32.exe

O4 - HKLM\..\Run: [winbn32.exe] C:\WINNT\system32\winbn32.exe

O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\system32\addsg32.exe

4.- Sin reiniciar, busca y elimina estos archivos, si no se dejan eliminar descarga el programa "Killbox" y sigue las indicaciones del mensaje, copia y pega los archivos para que los elimine al reiniciar.

C:\WINNT\system32\addsg32.exe

C:\WINNT\system32\winbn32.exe

C:\WINNT\system32\mndvv.dll

C:\WINNT\system32\ieba32.dll

C:\WINNT\system32\ipth32.exe

C:\WINNT\system32\winab32.exe

5.- Pasa el Disk Cleaner para limpiar cookies y temporales

6.- Pasa el Regseeker para Limpiar el Registro, pásalo hasta q no quede nada para eliminar.

7.- Pasa el Ad-Aware SE actualizado e instala SpywareBlaster

8.- Reinicia la maquina y pega otro log de Hijackthis aqui mismo, luego nos cuentas como te fue.

De preferencia imprime las indicaciones para que se te haga mas facil seguirlas.

Saludos

HOLA!!!

MUCHAS GRACIAS POR RESPONDER. Nunca imaginé que contestaran tan rápido.
Seguí los pasos anteriores y todo ok. hasta el momento. Lo único que no encontré fueron los siguientes arch para eliminarlos:
c:\WINNT\system32\ieba32.dll
c:\WINNT\system32\ipth32.exe
c:\WINNT\system32\winab32.exe

Pero lo importante que hasta ahora no hay problemas. Aquí está el LOG
GRAC



Logfile of HijackThis v1.99.1
Scan saved at 16:34:53, on 21-10-2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\ARCHIV~1\ROCKWE~1\RSCOMMON\RSOBSERV.EXE
C:\MATLAB7\webserver\bin\win32\matlabserver.exe
C:\MSSQL7\binn\sqlservr.exe
C:\WINNT\System32\nvsvc32.exe
C:\Archivos de programa\Archivos comunes\OPC Foundation\OPCENUM.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\Explorer.EXE
C:\ARCHIV~1\ROCKWE~1\RSLINX\RSLINX.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\mqsvc.exe
C:\WINNT\System32\NVATray.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\MSSQL7\Binn\sqlmangr.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://es.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://es.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - Global Startup: Administrador de servicios.lnk = C:\MSSQL7\Binn\sqlmangr.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Norton AntiVirus AutoProtect.lnk = C:\Archivos de programa\Navnt\navapw32.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - http://www.icdl.cl/practice/wp/awswaxf.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {CF536851-39E4-4FB4-AB71-50D539C52CFC} (ClbrAppShell.ctlShell) - http://www.chileriego.cl/cab/ClbrAppShell.CAB
O23 - Service: 1784-PCIDS DeviceNet - Rockwell Automation - C:\Archivos de programa\Rockwell Software\RSLogix Emulate 5000\PcidsService.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: dnWhoDisp - Unknown owner - C:\Archivos de programa\Rockwell Software\RSLINX\dnwhodisp.exe
O23 - Service: Harmony - Rockwell Software Inc. - C:\ARCHIV~1\ROCKWE~1\RSCOMMON\RSOBSERV.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB7\webserver\bin\win32\matlabserver.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: OPCEnum - Unknown owner - C:\Archivos de programa\Archivos comunes\OPC Foundation\OPCENUM.EXE
O23 - Service: RSLinx - Rockwell Software, Inc. - C:\ARCHIV~1\ROCKWE~1\RSLINX\RSLINX.EXE
O23 - Service: 1789-SIM Simulator Module (SimModuleService) - Unknown owner - C:\Archivos de programa\Rockwell Software\RSLogix Emulate 5000\SimModuleService.exe

El log está limpio y si no mencionas mas problemas daremos el tema por solucionado.

Saludos