Hola a todos. Tengo un problema con un spyware que no consigo eliminar y que provoca que la navegacion sea horrible desde hace dos dias.
En primer lugar quiero comentaros que he leido este topic del foro

Se abren Pop-Up's "Searc-h" y varios.. (Solucionado)

Mi caso es practicamente el mismo, Avast! encontro un troyano tras descargar un archivo y desde entonces se me abren las mismas webs que a ese usuario, del tipo serc-h y demas.
He pasado spybot y ad-aware en modo seguro y pese a que ya no encuentran nada, las webs continuan saltando.

Supongo que los pasos a seguir para eliminarlo deben ser los mismos, pero me quedo mas tranquilo y analizais mi log de HijackThis y me comentais como esta el tema o si debo eliminar alguna otra entrada. Aqui os lo pego:

Logfile of HijackThis v1.99.1
Scan saved at 15:29:09, on 29/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RXJuZXN0bwAA\command.exe
C:\Archivos de programa\Canon\MultiPASS4\MPSERVIC.EXE
C:\Ernesto\Shared\License Manager\Bin\lmgrd.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Ernesto\Shared\License Manager\Bin\nilm.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe
C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe
C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe
C:\Ernesto\Archivos de programa\iTunes\iTunesHelper.exe
C:\ARCHIV~1\Canon\MULTIP~1\MPTBox.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\SurfAccuracy\SAcc.exe
C:\windows\sp2update00.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\BySoft FreeRAM\FreeRAM.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\WINDOWS\SYSTEM32\rundll32.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Canon\MultiPASS4\MPDBMgr.exe
C:\HijackThis\HijackThis.exe
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\Ex ploreExtPDF.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [IMAQBoot] C:\Ernesto\NI-IMAQ\bin\ImaqBoot.exe
O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [iTunesHelper] C:\Ernesto\Archivos de programa\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [MPTBox] C:\ARCHIV~1\Canon\MULTIP~1\MPTBox.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [msresearch] C:\windows\msresearch.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Archivos de programa\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [sp2update] C:\windows\sp2update00.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BySoft FreeRAM] C:\Archivos de programa\BySoft FreeRAM\FreeRAM.exe
O4 - Global Startup: Avisos del Calendario de Microsoft Works.lnk = ?
O4 - Global Startup: Grouper.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Archivos de programa\EmpirePoker\EmpirePoker.exe
O9 - Extra 'Tools' menuitem: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Archivos de programa\EmpirePoker\EmpirePoker.exe
O9 - Extra button: Royal Vegas Poker - {FA4904B4-1FAF-4afd-886C-C19D2297BA62} - C:\Archivos de programa\royalvegasMPP\MPPoker.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/v...fo/webscan.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {AED98630-0251-4E83-917D-43A23D66D507} (Download Helper Class) - http://activex.microgaming.com/DLhel...7/dlhelper.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10...o.cab34246.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...62/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{76FCEE97-6851-428C-AC40-9545BAF702DE}: NameServer = 195.235.113.3,195.235.96.90
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: CSCSettings - C:\WINDOWS\system32\mv44l9hq1.dll
O20 - Winlogon Notify: SideBySide - C:\WINDOWS\system32\m6rmlg9116.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RXJuZXN0bwAA\command.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: MpService - Canon Inc. - C:\Archivos de programa\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: NILM License manager - GLOBEtrotter Software Inc. - C:\Ernesto\Shared\License Manager\Bin\lmgrd.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)


Muchas gracias por su magnifico foro y espero sus respuestas.

Un saludo

Hola HarryCallaghan, Bienvenido a Infospyware.

Realiza todos los pasos sin saltarte ninguno,por favor.

Apaga tu ruter/moden y desconecta el cable de tf. de la torre.

*Ver archivos ocultos en todos los Windows

*Apagar Restaurar Sistema (Systema Restore)

*Reinicia el PC en Modo a prueba de fallos

*Ves al Panel de Control/ Agregar o Quitar Programas y desinstalas estos programas si existen:

SurfAccuracy <-- Instala malware
MessengerPlus <-- Mira aquí ,leetelo y pones tu opinión.

Ejecuta el hijackthis y con todos lo programas cerrados marca las siguientes entradas y pulsa en FIX Checked:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe
O4 - HKLM\..\Run: [msresearch] C:\windows\msresearch.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Archivos de programa\SurfAccuracy\SAcc.exe

O4 - HKLM\..\Run: [sp2update] C:\windows\sp2update00.exe
O9 - Extra button: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Archivos de programa\EmpirePoker\EmpirePoker.exe
O9 - Extra 'Tools' menuitem: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Archivos de programa\EmpirePoker\EmpirePoker.exe

O9 - Extra button: Royal Vegas Poker - {FA4904B4-1FAF-4afd-886C-C19D2297BA62} - C:\Archivos de programa\royalvegasMPP\MPPoker.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {AED98630-0251-4E83-917D-43A23D66D507} (Download Helper Class) - http://activex.microgaming.com/DLhel...7/dlhelper.cab

O20 - Winlogon Notify: CSCSettings - C:\WINDOWS\system32\mv44l9hq1.dll
O20 - Winlogon Notify: SideBySide - C:\WINDOWS\system32\m6rmlg9116.dll (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RXJuZXN0bwAA\command.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Sin reiniciar,busca y elimina estos archivos/carpetas.Utiliza el KillBox si no puedes eliminarlos.

Le vas poniendo que NO a reiniciar hasta que pongas el ultimo y ahi le pones que SI para que reinicie y elimine estos archivos infectados.

C:\WINDOWS\RXJuZXN0bwAA\command.exe
C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe
C:\Archivos de programa\SurfAccuracy\SAcc.exe

C:\windows\sp2update00.exe
C:\windows\msresearch.exe
C:\Archivos de programa\EmpirePoker\EmpirePoker.exe

C:\Archivos de programa\royalvegasMPP\MPPoker.exe
C:\WINDOWS\system32\mv44l9hq1.dll
C:\WINDOWS\system32\m6rmlg9116.dll

rpcapd.exe

Pasa estas herramientas:

*Ad-Aware 1.06 SE Personal

*Disk Cleaner para limpiar cookis y temporales

* RegSeeker para limpiar el registro y su manual pasalo varias veces hasta q ya no te salga nada.

Instalate el *SpywareBlaster 3.4 manual

Reinicia y te conectas a la red.Y reactiva la opción de restaurar el sistema.

Y pasas el *Ewido Online

Pones otro log para ver como esta todo y nos cuentas los resultados.

*Si tienes alguna duda,puedes imprimir las instrucciones.

saludos

Muchas gracias por el protocolo de actuacion, completisimo
Ahora mismo me pongo a ello, cuando finalice volvere a postear.

Un saludo

Hola de nuevo.

Te cuento como me ha ido:

_Elimine todas las entradas que me dijiste con HijackThis, pero las siguientes por lo visto no se borraron:

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RXJuZXN0bwAA\command.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

_Posteriormente con KillBox elimine los archivos que me indicaste, excepto estos dos que parecen no existir:

C:\WINDOWS\system32\mv44l9hq1.dll
C:\WINDOWS\system32\m6rmlg9116.dll

Finalmente pase el Ad-Aware 1.6, que encontro y aparentemente elimino algo y el Disk Cleaner y Reg Seeker.

Reinicie en modo normal y pase el ewido, cuyo report te pego a continuacion:

ewido security suite online scanner
http://www.ewido.net
__________________________________________________


Name: Spyware.SideFind
Path: HKU\S-1-5-21-1078081533-920026266-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{10E42047-DEB9-4535-A118-B3F6EC39B807}
Risk: High

Name: Spyware.YourSiteBar
Path: HKU\S-1-5-21-1078081533-920026266-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{86227D9C-0EFE-4F8A-AA55-30386A3F5686}
Risk: High

Name: Spyware.Look2Me
Path: [916] C:\WINDOWS\system32\dqprov.dll
Risk: High

Name: Spyware.Look2Me
Path: [1508] C:\WINDOWS\system32\dqprov.dll
Risk: High

Name: Adware.CommAd
Path: C:\!Submit\command.exe
Risk: Medium

Name: Spyware.Hijacker.Generic
Path: C:\!Submit\msresearch.exe
Risk: High

Name: Downloader.VB.nh
Path: C:\!Submit\sp2update00.exe
Risk: High

Name: Spyware.Cookie.Yieldmanager
Path: C:\Documents and Settings\Ernesto\Configuración local\Temp\Cookies\ernesto@ad.yieldmanager[1].txt
Risk: Medium

Name: Backdoor.Agent.ms
Path: C:\Documents and Settings\Ernesto\Escritorio\Texas\Poffice\Poker Office\install.exe
Risk: High

Name: Backdoor.Agent.ms
Path: C:\Documents and Settings\Ernesto\Escritorio\Texas\Poker Office.zip/Poker Office/install.exe
Risk: High

Name: Downloader.IstBar.j
Path: C:\Documents and Settings\J A V I\Configuración local\Archivos temporales de Internet\Content.IE5\7U8Z3TGH\drsmartload_js[1].htm
Risk: High

Name: Downloader.IstBar.j
Path: C:\Documents and Settings\J A V I\Configuración local\Temp\Archivos temporales de Internet\Content.IE5\01YJ4HAJ\drsmartload_js[1].htm
Risk: High

Name: Spyware.Cookie.Yieldmanager
Path: C:\Documents and Settings\J A V I\Configuración local\Temp\Cookies\j a v i@ad.yieldmanager[1].txt
Risk: Medium

Name: Spyware.Cookie.Yieldmanager
Path: C:\Documents and Settings\J A V I\Cookies\j a v i@ad.yieldmanager[1].txt
Risk: Medium

Name: Spyware.Cookie.Clickhype
Path: C:\Documents and Settings\J A V I\Cookies\j a v i@ad1.clickhype[1].txt
Risk: Medium

Name: Spyware.Cookie.Esomniture
Path: C:\Documents and Settings\J A V I\Cookies\j a v i@e-2dj6wjmyumdjcco.stats.esomniture[2].txt
Risk: Medium

Name: Spyware.Cookie.Bpath
Path: C:\Documents and Settings\J A V I\Cookies\j a v i@germany.bpath[1].txt
Risk: Medium

Name: Spyware.Cookie.Itrack
Path: C:\Documents and Settings\J A V I\Cookies\j a v i@ilead.itrack[2].txt
Risk: Medium

Name: Downloader.Swizzor.ag
Path: C:\Documents and Settings\J A V I\Mis documentos\Setup's\MsgPlus-254.exe/sponsor.exe
Risk: High

Name: Spyware.Cookie.Yieldmanager
Path: C:\Documents and Settings\LocalService\Cookies\system@ad.yieldmanag er[1].txt
Risk: Medium

Name: Spyware.Cookie.Epilot
Path: C:\Documents and Settings\LocalService\Cookies\system@www.epilot[1].txt
Risk: Medium

Name: Downloader.IstBar.j
Path: C:\Documents and Settings\VíCtOr_\Configuración local\Archivos temporales de Internet\Content.IE5\CMESPH4N\drsmartload_js[1].htm
Risk: High

Name: Downloader.IstBar.j
Path: C:\Documents and Settings\VíCtOr_\Configuración local\Temp\Archivos temporales de Internet\Content.IE5\VJFQVDVW\drsmartload_js[1].htm
Risk: High

Name: Spyware.Cookie.Yieldmanager
Path: C:\Documents and Settings\VíCtOr_\Configuración local\Temp\Cookies\víctor_@ad.yieldmanager[1].txt
Risk: Medium

Name: Spyware.Cookie.Yieldmanager
Path: C:\Documents and Settings\VíCtOr_\Cookies\víctor_@ad.yieldmanager[1].txt
Risk: Medium

Name: Spyware.Cookie.Clickhype
Path: C:\Documents and Settings\VíCtOr_\Cookies\víctor_@ad1.clickhype[1].txt
Risk: Medium

Name: Spyware.Cookie.Ivwbox
Path: C:\Documents and Settings\VíCtOr_\Cookies\víctor_@ivwbox[1].txt
Risk: Medium

Name: Downloader.Swizzor.bt
Path: C:\Documents and Settings\VíCtOr_\Mis documentos\Mis archivos recibidos\Messenger Plus! - Setup.exe/Sponsor.exe
Risk: High

Name: Spyware.Look2Me
Path: C:\installer.exe
Risk: High

Name: Spyware.CommAd
Path: C:\WINDOWS\RXJuZXN0bwAA\asappsrv.dll
Risk: High

Name: Spyware.Look2Me
Path: C:\WINDOWS\system32\cylbact.dll
Risk: High

Name: Spyware.Look2Me
Path: C:\WINDOWS\system32\dnnu0159e.dll
Risk: High

Name: Spyware.Look2Me
Path: C:\WINDOWS\system32\enlsl1371.dll
Risk: High

Name: Spyware.Look2Me
Path: C:\WINDOWS\system32\hrjq0515e.dll
Risk: High

Name: Spyware.Look2Me
Path: C:\WINDOWS\system32\i4060edseh060.dll
Risk: High

Name: Spyware.Look2Me
Path: C:\WINDOWS\system32\ir26l5fs1.dll
Risk: High

Name: Spyware.Look2Me
Path: C:\WINDOWS\system32\jt2o07f3e.dll
Risk: High

Name: Spyware.Look2Me
Path: C:\WINDOWS\system32\k426lefs1h26.dll
Risk: High

Name: Spyware.Look2Me
Path: C:\WINDOWS\system32\m6lslg3716.dll
Risk: High

Name: Spyware.Look2Me
Path: C:\WINDOWS\system32\nawrshu.dll
Risk: High

Name: Spyware.Look2Me
Path: C:\WINDOWS\system32\screamci.dll
Risk: High

Name: Spyware.Look2Me
Path: C:\WINDOWS\system32\wvnscard(2).dll
Risk: High

Name: Downloader.IstBar.is
Path: C:\ysbinstall_1003585.exe
Risk: High

Name: Adware.SaveNow
Path: F:\divx\globaldivxplayer(reproductor).zip/globaldivxplayer/GDiVX 1.9.1.exe
Risk: Medium

Name: Adware.SaveNow
Path: F:\divx\globaldivx\globaldivxplayer\GDiVX 1.9.1.exe
Risk: Medium


Finalmente adjunto el log actual que obtengo con HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 20:38:47, on 29/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\Archivos de programa\Canon\MultiPASS4\MPSERVIC.EXE
C:\Ernesto\Shared\License Manager\Bin\lmgrd.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Ernesto\Shared\License Manager\Bin\nilm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe
C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe
C:\Ernesto\Archivos de programa\iTunes\iTunesHelper.exe
C:\ARCHIV~1\Canon\MULTIP~1\MPTBox.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\BySoft FreeRAM\FreeRAM.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Canon\MultiPASS4\MPDBMgr.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\Ex ploreExtPDF.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [IMAQBoot] C:\Ernesto\NI-IMAQ\bin\ImaqBoot.exe
O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Ernesto\Archivos de programa\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [MPTBox] C:\ARCHIV~1\Canon\MULTIP~1\MPTBox.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BySoft FreeRAM] C:\Archivos de programa\BySoft FreeRAM\FreeRAM.exe
O4 - Global Startup: Avisos del Calendario de Microsoft Works.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/v...fo/webscan.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10...o.cab34246.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...62/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{76FCEE97-6851-428C-AC40-9545BAF702DE}: NameServer = 195.235.113.3,195.235.96.90
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: App Paths - C:\WINDOWS\system32\irn0l55m1.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: MpService - Canon Inc. - C:\Archivos de programa\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: NILM License manager - GLOBEtrotter Software Inc. - C:\Ernesto\Shared\License Manager\Bin\lmgrd.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Finalmente, las ventanas emergentes siguen apareciendo. Investigando en esta web y en otras ese problema parece deberse al malware "Look2me". del que en esta misma web hay una aplicacion para desinfectarla. ¿Deberia usarla?

Gracias y espero vuestras respuestas.

Un saludo

Hola de nuevo. El problema principal debido a Look2me parece que ha desaparecido, pero aun me quedan multitud de malwares que ewido me detecto y que mi antivirus no detecta.

¿Que debo hacer ahora?

Gracias y un saludo

Hola HarryCallaghan

Claro q puedes usar el Look2Me para continuar con la limpieza. Procura de seguir el tutorial.

Sigamos ahora con el reporte del ewido.

Ver archivos ocultos en todos los Windows

*Apagar Restaurar Sistema (Systema Restore)

*Reinicia el PC en Modo a prueba de fallos

Con el Administrador de Tareas, Ctrl-Alt-Supr,detienes estos procesos ( si estan)

command.exe
rpcapd.exe

*Ves al Panel de Control/ Agregar o Quitar Programas y desinstalas estos programas si existen:

SideFind
YourSiteBar

Ejecuta el hijackthis y con todos lo programas cerrados marca las siguientes entradas y pulsa en FIX Checked:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O9 - Extra button: (no name) - SolidConverterPDF

O20 - Winlogon Notify: App Paths - C:\WINDOWS\system32\irn0l55m1.dll
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RXJuZXN0bwAA\command.exe <-- esta no la veo en el log

Sin reiniciar,busca y elimina estos archivos/carpetas.Utiliza el KillBox si no puedes eliminarlos.

Le vas poniendo que NO a reiniciar hasta que pongas el ultimo y ahi le pones que SI para que reinicie y elimine estos archivos infectados.

C:\WINDOWS\system32\irn0l55m1.dll
ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini
C:\WINDOWS\RXJuZXN0bwAA\command.exe

C:\WINDOWS\system32\dqprov.dll
C:\!Submit\command.exe
C:\!Submit\msresearch.exe

C:\!Submit\sp2update00.exe
C:\Documents and Settings\Ernesto\Escritorio\Texas\Poffice\Poker Office\install.exe
C:\Documents and Settings\J A V I\Configuración local\Archivos temporales de Internet\Content.IE5\7U8Z3TGH\drsmartload_js[1].htm


C:\Documents and Settings\J A V I\Mis documentos\Setup's\MsgPlus-254.exe/sponsor.exe
C:\Documents and Settings\VíCtOr_\Configuración local\Archivos temporales de Internet\Content.IE5\CMESPH4N\drsmartload_js[1].htm
C:\Documents and Settings\VíCtOr_\Mis documentos\Mis archivos recibidos\Messenger Plus! - Setup.exe/Sponsor.exe


C:\installer.exe
C:\WINDOWS\RXJuZXN0bwAA\asappsrv.dll

C:\WINDOWS\system32\cylbact.dll

C:\WINDOWS\system32\dnnu0159e.dll
C:\WINDOWS\system32\enlsl1371.dll
C:\WINDOWS\system32\hrjq0515e.dll

C:\WINDOWS\system32\i4060edseh060.dll
C:\WINDOWS\system32\ir26l5fs1.dll
C:\WINDOWS\system32\jt2o07f3e.dll

C:\WINDOWS\system32\k426lefs1h26.dll
C:\WINDOWS\system32\m6lslg3716.dll
C:\WINDOWS\system32\nawrshu.dll

C:\WINDOWS\system32\screamci.dll
C:\WINDOWS\system32\wvnscard(2).dll
C:\ysbinstall_1003585.exe

Pasa estas herramientas:

*2 antivirus online Panda y el Kaspersky

*Ewido Online

Nos cuentas como va todo,y si tienes q poner algun reporte lo pones.

saludos

Muy bien, enseguida me pongo a ello.

Un saludo y gracias