Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola a todos.Os cuento lo que me sucede.Llevo unos días que mi ordenador muestra ventanas del Mozilla o Explorer de publicidad, a su vez, hace dos días que también tenía unos anuncions tipo flash pero lo he podido eliminar, o eso parece. He pasado el Ad-ware, el Microsoft Spyware,el Avg antivirus el No-spy, el SpyBot, el Agnitum Firewall...y nada.Como sabía más o menos los días que llevaba así decidí restaurar el sistema, y nada....siempre igual, trabajo con Word o lo que sea y se abre el Mozilla y publicidad tipo Casino, Iconos, etc... Os pongo el Log y ojalá podais ayudarme.Gracias

Logfile of HijackThis v1.99.1
Scan saved at 15:49:37, on 08/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\TuneUp Utilities 2006\MemOptimizer.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Archivos de programa\kinberlin\kinberlink\Kinberlink.exe
C:\Program Files\AutoCAD 2006\acad.exe
C:\DOCUME~1\JSANCH~1.IDA\CONFIG~1\Temp\AdskCleanup .0001
C:\ARCHIV~1\MICROS~2\Office\OUTLOOK.EXE
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\ARCHIV~1\IZArc\IZArc.exe
C:\DOCUME~1\JSANCH~1.IDA\CONFIG~1\Temp\ARC40\Hijac kThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.linktones.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\Ex ploreExtPDF.dll
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Outpost Firewall] C:\ARCHIV~1\Agnitum\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Archivos de programa\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [Sin Espias] C:\Archivos de programa\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Archivos de programa\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Kinberlink.lnk = C:\Archivos de programa\kinberlin\kinberlink\Kinberlink.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Ajuste rápido de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Archivos de programa\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = idagua.local
O17 - HKLM\Software\..\Telephony: DomainName = idagua.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B53FBE7-1C6F-48E2-92C2-F3276BF29EC9}: NameServer = 10.104.128.2,80.58.61.250,80.58.61.254
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = idagua.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{4B53FBE7-1C6F-48E2-92C2-F3276BF29EC9}: NameServer = 10.104.128.2,80.58.61.250,80.58.61.254
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\ARCHIV~1\Agnitum\OUTPOS~1\wl_hook.dll
O20 - Winlogon Notify: Controls Folder - C:\WINDOWS\system32\ir82l5lo1.dll
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\SURBR1VB\command.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

<--- Paso 1 --->

• Deshabilita "Restaurar sistema"
• Mostrar archivos ocultos

<--- Paso 2 --->

Con todos los programas cerrados, marca estas entradas y pulsa en Fix Checked:

• R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
• R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
• R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.linktones.com/
• O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000
• O20 - Winlogon Notify: Controls Folder - C:\WINDOWS\system32\ir82l5lo1.dll <---- Para eliminar esto, descarga la versión de prueba (trial) del Spy Sweeper
• O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\SURBR1VB\command.exe (file missing)

<--- Paso 3 --->

• Limpia el registro con RegSeeker.
• Limpia los temporales de Internet y de Windows con Disk Cleaner.

<--- Paso 4 --->

Analiza el sistema con el Kaspersky online y pega el reporte si encuentra infecciones.

Reinicia el ordenador, comenta los resultados y pega un log nuevo del HijackThis.

Como estoy en la oficina hago lo que me dijiste a ratos.Bueno, hice todos los pasos menos el de Kaspersky online,no me deja pasarlo porqué dice que tengo mi antivirus activo, lo desactivo y me lo sigue diciendo.Por cierto el No-Spy lo desinstale y aun sigue activo,yo alucino
Te pego el LOG y el resultado del Spy Sweeper:

SPY SWEEPER

Adware encontrado: look2me
Adware encontrado: internetoptimizer
Adware encontrado: lopdotcom
Adware encontrado: ist yoursitebar
Adware encontrado: findthewebsiteyouneed hijacker
Spy Cookie encontrado: yieldmanager cookie
Spy Cookie encontrado: adultfriendfinder cookie
Spy Cookie encontrado: belnk cookie
Spy Cookie encontrado: a cookie
Spy Cookie encontrado: mywebsearch cookie
Spy Cookie encontrado: reliablestats cookie
Spy Cookie encontrado: xiti cookie
Spy Cookie encontrado: 3 cookie
Spy Cookie encontrado: 64.62.232 cookie
Spy Cookie encontrado: 66.220.17 cookie
Spy Cookie encontrado: 888 cookie
Spy Cookie encontrado: accoona cookie
Spy Cookie encontrado: hbmediapro cookie
Spy Cookie encontrado: bpath cookie
Spy Cookie encontrado: alt cookie
Spy Cookie encontrado: cnt cookie
Spy Cookie encontrado: directtrack cookie
Spy Cookie encontrado: empnads cookie
Spy Cookie encontrado: fe.lea.lycos.com cookie
Spy Cookie encontrado: goldenpalace cookie
Spy Cookie encontrado: touchclarity cookie
Spy Cookie encontrado: zango cookie
Spy Cookie encontrado: moviemonster cookie
Spy Cookie encontrado: mysearchnow cookie
Spy Cookie encontrado: netvenda cookie
Spy Cookie encontrado: offeroptimizer cookie
Spy Cookie encontrado: partypoker cookie
Spy Cookie encontrado: passion cookie
Spy Cookie encontrado: rn11 cookie
Spy Cookie encontrado: adjuggler cookie
Spy Cookie encontrado: searchweb2 cookie
Spy Cookie encontrado: xzoomy cookie
Adware encontrado: powerscan
Adware encontrado: exact cashback/bargain buddy
Adware encontrado: apropos
Adware encontrado: winantispyware 2005
Barrido completo finalizado. Tiempo transcurrido 0013
Indicios encontrados: 66

-------------------------


Logfile of HijackThis v1.99.1
Scan saved at 11:22:19, on 09/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe
C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\AutoCAD 2006\acad.exe
C:\DOCUME~1\JSANCH~1.IDA\CONFIG~1\Temp\AdskCleanup .0001
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\jsanchez.IDAGUA\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\Ex ploreExtPDF.dll
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Outpost Firewall] C:\ARCHIV~1\Agnitum\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Archivos de programa\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [Sin Espias] C:\Archivos de programa\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun
O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Archivos de programa\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Kinberlink.lnk = C:\Archivos de programa\kinberlin\kinberlink\Kinberlink.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Ajuste rápido de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Archivos de programa\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = idagua.local
O17 - HKLM\Software\..\Telephony: DomainName = idagua.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B53FBE7-1C6F-48E2-92C2-F3276BF29EC9}: NameServer = 10.104.128.2,80.58.61.250,80.58.61.254
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = idagua.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{4B53FBE7-1C6F-48E2-92C2-F3276BF29EC9}: NameServer = 10.104.128.2,80.58.61.250,80.58.61.254
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\ARCHIV~1\Agnitum\OUTPOS~1\wl_hook.dll
O20 - Winlogon Notify: WebCheck - C:\WINDOWS\system32\j44o0eh3eh4.dll
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Para lo del SIn espias, marca estas dos entradas y pulsa en fix checked:

O4 - HKLM\..\Run: [Sin Espias] C:\Archivos de programa\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun

Luego eliminas el directorio de Archivos de programa y limpias el registro con RegSeeker.

Sigues tenieno una infección:

O20 - Winlogon Notify: WebCheck - C:\WINDOWS\system32\j44o0eh3eh4.dll

Analiza el sistema con el Spy Sweeper para que lo elimine.

Reinicias, comentas los resultados y pegas un log nuevo del HijackThis.

Sigo igual con los mismo problemas,siguen saliendo las malditas ventanitas, además ahora parece que el PC va mucho mas lento...Yo ya no se que más hacer. Os dejo el LOG del Spy Sweeper y del HijackThis.HELP ME

Gracias de antemano

spy sweeper
Adware encontrado: internetoptimizer
Adware encontrado: lopdotcom
Adware encontrado: ist yoursitebar
Adware encontrado: look2me
Barrido completo finalizado. Tiempo transcurrido 00:13:19

-----------------
Logfile of HijackThis v1.99.1
Scan saved at 15:40:57, on 09/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe
C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\AutoCAD 2006\acad.exe
C:\DOCUME~1\JSANCH~1.IDA\CONFIG~1\Temp\AdskCleanup .0001
C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\AcroTray.exe
C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\AcroDist.exe
C:\Documents and Settings\jsanchez.IDAGUA\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\Ex ploreExtPDF.dll
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Outpost Firewall] C:\ARCHIV~1\Agnitum\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Archivos de programa\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Archivos de programa\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Kinberlink.lnk = C:\Archivos de programa\kinberlin\kinberlink\Kinberlink.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Ajuste rápido de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Archivos de programa\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = idagua.local
O17 - HKLM\Software\..\Telephony: DomainName = idagua.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B53FBE7-1C6F-48E2-92C2-F3276BF29EC9}: NameServer = 10.104.128.2,80.58.61.250,80.58.61.254
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = idagua.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{4B53FBE7-1C6F-48E2-92C2-F3276BF29EC9}: NameServer = 10.104.128.2,80.58.61.250,80.58.61.254
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\ARCHIV~1\Agnitum\OUTPOS~1\wl_hook.dll
O20 - Winlogon Notify: Group Policy - C:\WINDOWS\system32\ir02l5do1.dll
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Como estoy ya bastante molesto de la entrada de Winlogon, me comentarás que quite esta entrada:

O20 - Winlogon Notify: Group Policy - C:\WINDOWS\system32\ir02l5do1.dll

Pues bien, no la he eliminado, pero al reiniciar de nuevo el PC he pasado otra vez el HijackThis y me sale ahora estra entrada:

O20 - Winlogon Notify: DateTime - C:\WINDOWS\system32\d00mlad11d0.dll

Al parecer va cambiando de nombre.He hecho todo lo anterior y aún sigue el problema.Espero que este dato sea de ayuda

Gracias otra vez

Pues la he liado más.Quería acceder a modo prueba de fallos, y ahora no puedo acceder porque me dice que el usuario o contraseña no son correctos

He hecho esto:

Para Windows XP:

1- Haga clic en Inicio > Ejecutar. Aparecerá el cuadro de diálogo Ejecutar.

2- Escriba msconfig y después haga clic en Aceptar.

3- Vaya a la pestaña BOOT.INI, seleccione la opción /SAFEBOOT y haga clic en Aceptar

4- Verá que se le indica reiniciar el equipo. Haga clic en Reiniciar.

**Nota**Para terminar el Modo a prueba de fallos, repita los pasos 1 al 4, pero en el paso 3, deshabilite /SAFEBOOT y reinicie normalmente.

-------------------

Hay alguna manera de acceder al MSCONFIG por simbolo de sistema y editar la línea que hace que reinicie automáticamente a MODO de FALLOS

Gracias otra vez,siento ser tan pesao :(

Hola, para entrar en modo de fallos simplemente pulsando F8 en el inicio varias veces ya es suficiente, la segunda opción es cuando con F8 no se puede.

Para revertir podes entrar al MSConfig desde modo a prueba de fallos y cambiarlo para que en el próximo reinicio te entre en modo normal.

La entrada 020 es la culpable de la infección y pertenece al "Malware Vundo" el cual supuestamente Spy Sweeper 4.5 actualizado puede eliminar, por lo que actualízalo antes de pasar y hacelo en modo a prueba de fallos y en modo normal.

En caso de que este no funcione tenes que hacerlo manualmente con la ayuda de la herramienta VundoFix.exe. Siguiendo los pasos del articulo tenes que poner en la primera línea el archivo que tengas en ese momento en la entrada 020 de HijackThis el cual cambia con cada reinicio, por ej:


Primera línea:
C:\WINDOWS\system32\d00mlad11d0.dll

Segunda línea:
C:\WINDOWS\system32\0d11dalm00d.* <- Lo mismo pero al revez y punto asterisco.

Luego le das Enter y con HijackThis marca y dale "FIX Cheked" a esta entrada:

O20 - Winlogon Notify: MSSYCLM - C:\WINDOWS\system32\d00mlad11d0.dll


Usa el Disk Cleaner para limpiar cookies y temporales y RegSeeker para limpiar el registro de Win.

Reinicia y nos contas los resultados.

Salu2

PS//Recorda que primero hay que ver cual es la entrada 020 en ese momento con HJT pero no borrarla hasta no hacerlo primero con VundoFix.exe

Ok, haré lo que me dices,pero lo malo es eso...que estoy conectado a un servidor, y ahora al poner la contraseña de usuario de red, me dice que es erronea, por ello te pregunto si se puede acceder desde el símbolo de sistema y modificar el MSCONFIG desde C:\ porqué me es imposible acceder al windows:LA CAGUE :P

Gracias.Soy muy tocho, lo sé

Bueno que yo sepa no se puede acceder el MSConfig desde el DOS

Ahora porque estas conectado a un servidor ?? no podes entrar a tu PC si no es conectando al servidor (aunque no tengas internet) tal vez ahi podes entrar al MSConfig para arreglar el problema.

También podes crear un disco de arranque del servidor eh iniciar desde el disco en la otra PC.

Salu2