Hola:
Mi PC esta infectado por coolWebSearch. La página de inicio insistentemente aparece como about:blank y aparece una página de un buscador en ingles. Además de vez en cuando se me abren páginas diciendome que puedo tener un spyware y me ofrecen programas para eliminarlos. He pasado varias veces el Ad-Aware SE y me localiza varios item con el coolwebsearch, los elimino pero vuelven a aparecer. Además tengo una librería llamada se.dll que segun vi en la bilioteca de Norton AV tiene mucho que ver con esto, la elimino pero vuelve a crearse. Lo he intentado pero no puedo solucionarlo, necesito ayuda, he ejecutado el Hijackthis y este es mi log:

Logfile of HijackThis v1.99.1
Scan saved at 18:27:12, on 29/10/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
D:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
D:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Archivos de programa\Norton AntiVirus\navapsvc.exe
D:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
D:\WINDOWS\System32\svchost.exe
D:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
D:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
D:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe
D:\Archivos de programa\Thomson\SpeedTouch USB\Dragdiag.exe
D:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
D:\Archivos de programa\Ahead\InCD\InCD.exe
D:\WINDOWS\System32\ctfmon.exe
D:\ARCHIV~1\ScannerU\KYESCAN.exe
D:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
D:\Archivos de programa\Norton AntiVirus\SAVScan.exe
D:\WINDOWS\System32\rundll32.exe
D:\Archivos de programa\HJT\HijackThis.exe
D:\Archivos de programa\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\DOCUME~1\ALEXAN~1\CONFIG~1\Temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\DOCUME~1\ALEXAN~1\CONFIG~1\Temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C036E775-48D4-48A7-A7EA-DE7044E19FDB} - D:\WINDOWS\System32\cfka.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "D:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Smapp] D:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\Archivos de programa\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [TkBellExe] "D:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "D:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [InCD] D:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [hgqhp.exe] D:\WINDOWS\System32\hgqhp.exe
O4 - HKLM\..\Run: [sp] rundll32 D:\DOCUME~1\ALEXAN~1\CONFIG~1\Temp\se.dll,DllInsta ll
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: KYESCAN.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = D:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\MSMSGS.EXE
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129209436169
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E648CA9-2D9F-4FAD-843A-EFB4C5CB1297}: NameServer = 85.255.113.90,85.255.112.5
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - {E7D9106B-E5CD-4DEC-A932-531DF611AB88} - D:\WINDOWS\System32\cfka.dll
O18 - Filter: text/plain - {E7D9106B-E5CD-4DEC-A932-531DF611AB88} - D:\WINDOWS\System32\cfka.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - D:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - D:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - D:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - D:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - D:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

De antemano muchas gracias por su ayuda.

Hola

Recuerda pasar por el windowsupdate.com regularmente y mantener tu sistema actualizado. Empieza por la instalación del Windows XP Service Pack 1a, luego instala los parches del explorer y demás actualizaciones de tu sistema.

Bueno, veamos ese reporte.

Recuerda seguir estos pasos para la reparación.

1. Ver los archivos ocultos de tu sistema
2. Desactivar la restauración del sistema
3. Iniciar el sistema en el modo «a prueba de fallos» o «modo seguro»
4. Haz los pasos con todos los programas cerrados salvo el que estés usando para la reparación o limpieza.

Deberás marcar estas líneas en el Hijackthis para reparar:

• R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\DOCUME~1\ALEXAN~1\CONFIG~1\Temp\se.dll/space.html
• O2 - BHO: (no name) - {C036E775-48D4-48A7-A7EA-DE7044E19FDB} - D:\WINDOWS\System32\cfka.dll
• O4 - HKLM\..\Run: [hgqhp.exe] D:\WINDOWS\System32\hgqhp.exe
• O4 - HKLM\..\Run: [sp] rundll32 D:\DOCUME~1\ALEXAN~1\CONFIG~1\Temp\se.dll,DllInsta ll
• O4 - Global Startup: KYESCAN.lnk = ?
• O15 - Trusted Zone: www.archiviosex.net
• O15 - Trusted Zone: www.redfunny.com
• O15 - Trusted Zone: www.skymasters.biz
• O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
• O18 - Filter: text/html - {E7D9106B-E5CD-4DEC-A932-531DF611AB88} - D:\WINDOWS\System32\cfka.dll
• O18 - Filter: text/plain - {E7D9106B-E5CD-4DEC-A932-531DF611AB88} - D:\WINDOWS\System32\cfka.dll

Si los encuentras, deberás borrar estos archivos y carpetas:

• D:\DOCUME~1\ALEXAN~1\CONFIG~1\Temp\ (borra todo lo que esté en esta carpeta)
• R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\DOCUME~1\ALEXAN~1\CONFIG~1\Temp\se.dll/space.html
• D:\WINDOWS\System32\cfka.dll
• D:\WINDOWS\System32\hgqhp.exe

Después de haber hecho esas reparaciones, ejecuta estas otras aplicaciones por si se le ha pasado algo al HijackThis:

• Ad-aware SE
• Disck Cleaner
• Spybot Search and Destroy
• Microsoft AntiSpyware
• RegSeeker. De este programa deberás usar principalmente la opción de «limpiar el registro»

Tras estos pasos y reparaciones, cuéntanos como evoluciona el tema.

Felicidad

Al parecer el problema ha sido totalmente solucionado, aunque persiste otro que no se si estara relacionado con el asunto original y es que mi correo yahoo toma mucho tiempo en abrirse y cuando lo hace, lo hace con un formato diverso (sin imagenes y con otro tipo de letras).
Muchas gracias por la solucion del problema, llevaba mucho tiempo en esas condiciones.

Hola

Te recomendaría que mandaras un nuevoreporte para que veamos si está todo limpio o si aparece algo que antes no hayamos visto.

Sobre el problema del correo, inicia un tema en el foro de ayuda general y trata de darnos más detalles, forma en la que lo accesa, cosas que no se ven, etc. De paso, si pudieras mandarnos un imagen, sería mejor.

Felicidad

Hola, este es mi log actual para que me digas si esta todo Ok.

Logfile of HijackThis v1.99.1
Scan saved at 10:29:00, on 31/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
D:\Archivos de programa\Norton AntiVirus\navapsvc.exe
D:\WINDOWS\Explorer.EXE
D:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
D:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
D:\WINDOWS\System32\svchost.exe
D:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
D:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
D:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
D:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe
D:\Archivos de programa\Thomson\SpeedTouch USB\Dragdiag.exe
D:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
D:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
D:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
D:\Archivos de programa\Norton AntiVirus\SAVScan.exe
D:\Archivos de programa\Internet Explorer\iexplore.exe
D:\Archivos de programa\Messenger\msmsgs.exe
D:\WINDOWS\msagent\AgentSvr.exe
D:\Archivos de programa\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "D:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Smapp] D:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\Archivos de programa\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [TkBellExe] "D:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [gcasServ] "D:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = D:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129209436169
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E648CA9-2D9F-4FAD-843A-EFB4C5CB1297}: NameServer = 85.255.113.90,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{579A9419-5F4D-4998-8CEA-51B6FA7DA159}: NameServer = 85.255.113.90 85.255.112.5
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - D:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - D:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - D:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - D:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - D:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe


Solo tengo el firewall que viene norton, ¿es bueno?.

Hola

Tu sistema sigue desactualizado, no dejes pasar mucho más tiempo antes de remediar eso.

Sobre el reporte que envías, está limpio, por lo que daré el tema por cerrado.

Sobre el firewall, si el que viene con norton es bueno.

Felicidad