Hola,
Tengo desde hace ya mas de una semana un problema con mi ordenador, hoy directamente la pagina de inicio me la ha cambiado de google a una que se llama www.talti.com que aparece solo lo de google en pequeñito. Pero los sintomas son que me redirecciona a paginas cuando busco en el google, y se va a paginas que no tienen nada que ver con la busqueda. Intenté solucionarlo, siguiendo unas instrucciones de aqui para quitar spyware bajandome el Avg, el spybot el superantispyware, y demas herramientas que poniais y siguiendo todos los pasos, pero no conseguí nada, asi que me he bajado lo que poneis en el apartado de wareout y he sacado los log de hijackthis y de fixwareout, a ver si me podeis ayudar viendo si tengo algo en mi log.

Gracias,
Mónica

log de hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:50:14, on 07/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Analog Devices\SoundMAX\spkrmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe
C:\DOCUME~1\keta\CONFIG~1\Temp\ctrlAT15.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIC DE.EXE
C:\Archivos de programa\OLYMPUS\OLYMPUS Master 2\MMonitor.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CtrlMod15] C:\DOCUME~1\keta\CONFIG~1\Temp\ctrlAT15.exe -m 64 -p"D:"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [EPSON Stylus DX7400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIC DE.EXE /FU "C:\WINDOWS\TEMP\E_S307.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [OM2_Monitor] "C:\Archivos de programa\OLYMPUS\OLYMPUS Master 2\MMonitor.exe"
O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{45B3C0FF-0B37-42D9-B232-59C59582D70B}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{7E9A1326-B2A0-46DD-9609-046148AEA3DF}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C0C675A-D9EF-46C9-8DB5-F37F1620CCE6}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{B5D837FC-59D0-44E4-89BB-E79895CCC03F}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: spkrmon - Unknown owner - C:\Archivos de programa\Analog Devices\SoundMAX\spkrmon.exe

--
End of file - 5958 bytes

Log de fixwareout

Username "keta" - 07/03/2008 18:16:53 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check
HKLM\SOFTWARE\~\Winlogon\ "System"="kdtuf.exe"

Se vació con éxito la caché de resolución de DNS.


System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "system"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....
~~~~~ Other
C:\WINDOWS\Temp\kdtuf.ren 75264 13/06/2007

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"ATIPTA"="C:\\Archivos de programa\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"SunJavaUpdateSched"="\"C:\\Archivos de programa\\Java\\jre1.6.0_03\\bin\\jusched.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\Nero Chec k.exe"
"CtrlMod15"="C:\\DOCUME~1\\keta\\CONFIG~1\\Tem p\\c trlAT15.exe -m 64 -p\"D:\""
"QuickTime Task"="\"C:\\Archivos de programa\\QuickTime\\qttask.exe\" -atboottime"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.ex e"
"NBJ"="\"C:\\Archivos de programa\\Ahead\\Nero BackItUp\\NBJ.exe\""
"EPSON Stylus DX7400 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W3 2X86\\3\\E_FATICDE.EXE /FU \"C:\\WINDOWS\\TEMP\\E_S307.tmp\" /EF \"HKCU\""
"OM2_Monitor"="\"C:\\Archivos de programa\\OLYMPUS\\OLYMPUS Master 2\\MMonitor.exe\""
"SpyBrowser"="\"C:\\Archivos de programa\\SpyBro\\SpyBro.exe\" /autostart"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

Hola ketaan2008, te doy la bienvenida al Foro de InfoSpyware.

Paso 1- Descarga estas herramientas pero no las ejecutes aun:

• ComboFix.exe
• Malwarebytes' Anti-Malware

Paso 2- Con todos los programas cerrados ejecuta el HijackThis y dale a estas entradas:


O17 - HKLM\System\CCS\Services\Tcpip\..\{45B3C0FF-0B37-42D9-B232-59C59582D70B}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{7E9A1326-B2A0-46DD-9609-046148AEA3DF}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C0C675A-D9EF-46C9-8DB5-F37F1620CCE6}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{B5D837FC-59D0-44E4-89BB-E79895CCC03F}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222




Paso 3- Ejecuta estas herramientas, de a una:

• Malwarebytes' Anti-Malware

• Antes de usar ComboFix....
• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

Paso 4- Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Reinicia y nos contas los resultados. junto con el reporte de

Paso 5- Reinicia en modo normal y nos dejas los reportes de:

• Malwarebytes' Anti-Malware
• C:\ComboFix.txt en este mismo mensaje.

**Nota**
- Para mayor comodidad imprime los pasos.
- Recuerda regresar y contarnos los resultados.

Salu2

Hola Piedra,

He seguido vuestras instrucciones y parece que ya no me ocurre lo de la pagina de inicio ni lo de las paginas que me mande a otras que no quiero. Asi que supongo que esta limpio de malware o spyware, lo que fuera.
Os dejo el log de combofix:

ComboFix 08-03-10.1 - keta 2008-03-13 19:35:59.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.310 [GMT 1:00]
Se ejecuta desde: C:\Documents and Settings\keta\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((( Archivos creados desde 2008-02-13 - 2008-03-13 )))))))))))))))))))))))))))))))))
.

2008-03-13 19:09 . 2008-03-13 19:09 <DIR> d-------- C:\Documents and Settings\keta\Datos de programa\Malwarebytes
2008-03-13 19:09 . 2008-03-13 19:09 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-03-13 19:09 . 2008-03-13 19:09 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-03-07 18:16 . 2008-03-07 18:20 <DIR> d----c--- C:\fixwareout
2008-03-06 00:41 . 2008-03-06 00:41 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-03-04 22:28 . 2008-03-04 22:36 <DIR> d-a------ C:\Documents and Settings\All Users\Datos de programa\TEMP
2008-03-04 18:45 . 2008-03-05 23:22 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2008-03-04 18:45 . 2008-03-06 19:17 <DIR> d-------- C:\Archivos de programa\Spybot - Search & Destroy
2008-03-04 00:54 . 2008-03-04 00:54 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Grisoft
2008-03-03 02:26 . 2008-03-03 23:53 <DIR> d-------- C:\Archivos de programa\SpyBro
2008-02-28 20:22 . 2008-02-28 21:08 664 --a------ C:\WINDOWS\system32\d3d9caps.dat

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-03-03 22:54 --------- d-----w C:\Documents and Settings\keta\Datos de programa\Lavasoft
2008-02-10 15:32 --------- d-----w C:\Archivos de programa\Archivos comunes\muvee Technologies
2008-02-10 15:30 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Apple Computer
2008-02-10 15:30 --------- d-----w C:\Archivos de programa\QuickTime
2008-02-10 15:29 --------- d-----w C:\Archivos de programa\OLYMPUS
2008-02-05 00:45 --------- d-----w C:\Archivos de programa\ESET
2006-02-03 18:28 17,920 -c--a-w C:\Documents and Settings\keta\Datos de programa\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 23:42 15360]
"NBJ"="C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe" [2005-04-08 18:43 1953792]
"EPSON Stylus DX7400 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\ 3\E_FATICDE.exe" [2007-04-12 07:00 182272]
"OM2_Monitor"="C:\Archivos de programa\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" [2007-05-28 16:59 95800]
"SpyBrowser"="C:\Archivos de programa\SpyBro\SpyBro.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"ATIPTA"="C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-05-25 22:35 335872]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.e xe" [2001-07-09 11:50 155648]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2006-09-01 15:57 282624]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 23:42 15360]
"Symantec NetDriver Warning"="C:\ARCHIV~1\SYMNET~1\SNDWarn.exe" [2004-10-29 08:52 218232]

C:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\
Adobe Reader Speed Launch.lnk - C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 21:05:26 29696]
Microsoft Office.lnk - C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE [2001-02-13 08:01:04 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\Internet Explorer\\iexplore.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Archivos de programa\\Messenger\\msmsgs.exe"=
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"=

S3 WL328F;WL382F Wireless LAN 11Mbps Adapter Service;C:\WINDOWS\system32\DRIVERS\Atl2kR.sys [2003-01-17 10:58]

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{774c976e-d7ee-11dc-9077-000e8e081683}]
\Shell\Auto\command - F:\UFO.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL UFO.exe

.
************************************************** ************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-13 19:37:21
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
Tiempo completado: 2008-03-13 19:40:33
.
2008-03-11 23:37:39 --- E O F ---

Y busco el otro a ver si lo tengo y os lo paso también, no lo encuentro donde se supone que esta el reporte de malwarebytes?.
Muchas gracias por la ayuda,
tengo otro problema en otro ordenador con que se me abre el pack de microsoft office xp professional con frontpage como para instalarlo o algo asi y no me deja abrir directamente archivos de word o de excel, donde tendria que preguntar aqui para que me ayudaran con eso?.

Saludos,
Mónica

Hola, he escrito contestando a el piedra por la solucion que me daba, pero he reiniciado el ordenador y al entrar en internet la pagina de inicio de nuevo se me ha quitado google y ha salido talti.com.
Me parece que no he podido quitar lo que tengo con las instrucciones que me habeis dado.
Algun otro consejo?

Saludos,
Mónica