Buenas tardes.

Tengo un servidor W2003 Server infectado con el Spy sheriff. He seguido los pasos de http://forospyware.com/t6486.html para limpiarlo, pero me he encontrado varios problemas. Cuando ejecuto el DelPSGuard me dice que la herramienta no es compatible con mi sistema. Además, el instal.dat que se debía borrar no lo encontré en "C:/Document and Settings/usuario/Application Data" sino en "C:/Document and Settings/usuario/Datos de programa" (supongo que será lo mismo, pero por si acaso os lo digo).

El problema es que nos conectamos por telnet al servidor, y, aunque al resto le hace cosas raras, sólo a un usuario en concreto le sale lo del escritorio con el mensaje de SPYWARE DETECTADO, y no le deja cambiar la imagen de fondo.

Os dejo el log del HijackThis, por si puede serviros para algo:

Logfile of HijackThis v1.99.1
Scan saved at 16:46:26, on 17/11/2005
Platform: Windows 2003 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 (6.00.3790.0000)

Running processes:
C:\Documents and Settings\Administrador\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\msdtc.exe
C:\WINDOWS\system32\serverappliance\appmgr.exe
C:\WINDOWS\system32\serverappliance\elementmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\llssrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\serverappliance\srvcsurg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\lserver.exe
C:\WINDOWS\System32\tssdis.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\MICROLAB\QPSERV.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
c:\windows\system32\inetsrv\w3wp.exe
C:\Archivos de programa\Internet Explorer\Iexplore.exe
C:\temporal\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.elpais.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar2.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: (no name) - {C4D5E343-9494-97E4-8635-440B49E25FD5} - (no file)
O3 - Toolbar: &Barra Mensajería Web - {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} - C:\ARCHIV~1\MENSAJ~1\MensaBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar2.dll
O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Acceso directo a la página de propiedades de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Servidor Microlab.lnk = C:\MICROLAB\QPSERV.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: AOM.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Web\AOM.exe
O4 - Global Startup: WeatherCast.lnk = C:\Archivos de programa\WeatherCast\Weather.exe
O8 - Extra context menu item: &Búsqueda en Google - res://c:\windows\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\windows\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\windows\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://c:\windows\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\windows\GoogleToolbar2.dll/cmbacklinks.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O10 - Broken Internet access because of LSP provider 'c:\documents and settings\administrador\windows\system32\mswsock.dl l' missing
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E27EC8C-148D-457C-9E02-4F01D41D792A}: NameServer = 193.152.63.197,195.235.113.3
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9572642-3762-484A-A7EB-DEF8D0D1FC4D}: NameServer = 62.81.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1E27EC8C-148D-457C-9E02-4F01D41D792A}: NameServer = 193.152.63.197,195.235.113.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{1E27EC8C-148D-457C-9E02-4F01D41D792A}: NameServer = 193.152.63.197,195.235.113.3
O21 - SSODL: SysTray.Exys - {7368D5FC-6F5C-4f5b-B964-E67214F67852} - C:\WINDOWS\system32\enidojdl.dll
O21 - SSODL: SysTray.Excn2 - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - C:\WINDOWS\system32\aghhqgcl.dll
O21 - SSODL: SysTray.Exsn - {2368D1FC-2F5C-4f1b-B124-E67214FC78E2} - C:\WINDOWS\system32\bdbokjlm.dll
O23 - Service: Servicio de puerta de enlace de capa de aplicación (ALG) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\alg.exe (file missing)
O23 - Service: Administración de aplicaciones (AppMgmt) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Audio de Windows (AudioSrv) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Servicio de transferencia inteligente en segundo plano (BITS) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Examinador de equipos (Browser) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Servicios de cifrado (CryptSvc) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Sistema de archivos distribuido (Dfs) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\Dfssvc.exe (file missing)
O23 - Service: Cliente DHCP (Dhcp) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\dmadmin.ex e (file missing)
O23 - Service: Administrador de discos lógicos (dmserver) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Cliente DNS (Dnscache) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Servicio de informe de errores (ERSvc) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\services.e xe (file missing)
O23 - Service: Fax - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\fxssvc.exe (file missing)
O23 - Service: Ayuda y soporte técnico (helpsvc) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Servidor (lanmanserver) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Estación de trabajo (lanmanworkstation) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Registro de licencias (LicenseService) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\llssrv.exe (file missing)
O23 - Service: Ayuda de NetBIOS sobre TCP/IP (LmHosts) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Inicio de sesión en red (Netlogon) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Conexiones de red (Netman) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: NLA (Network Location Awareness) (Nla) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Replicación de archivos (NtFrs) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\ntfrs.exe (file missing)
O23 - Service: Proveedor de compatibilidad con seguridad LM de Windows NT (NtLmSsp) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Almacenamiento de medios extraí (NtmsSvc) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\nvsvc32.ex e (file missing)
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\services.e xe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm1 2.exe
O23 - Service: Servicios IPSEC (PolicyAgent) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Almacenamiento protegido (ProtectedStorage) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Administrador de conexión automática de acceso remoto (RasAuto) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Administrador de conexión de acceso remoto (RasMan) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Enrutamiento y acceso remoto (RemoteAccess) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Registro remoto (RemoteRegistry) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Localizador de llamadas a procedimiento remoto (RPC) (RpcLocator) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\locator.ex e (file missing)
O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\Documents.exe (file missing)
O23 - Service: Conjunto resultante de proveedor de directivas (RSoPProv) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\RSoPProv.e xe (file missing)
O23 - Service: Ayudante de la consola de administración especial (sacsvr) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Administrador de cuentas de seguridad (SamSs) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\SCardSvr.e xe (file missing)
O23 - Service: Programador de tareas (Schedule) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Inicio de sesión secundario (seclogon) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Notificación de sucesos del sistema (SENS) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Detección de hardware shell (ShellHWDetection) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Cola de impresión (Spooler) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\spoolsv.ex e (file missing)
O23 - Service: Microsoft Software Shadow Copy Provider (swprv) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\smlogsvc.e xe (file missing)
O23 - Service: Telefonía (TapiSrv) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Licencias de Terminal Server (TermServLicensing) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\lserver.ex e (file missing)
O23 - Service: Temas (Themes) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Cliente de seguimiento de vínculos distribuidos (TrkWks) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Directorio de sesiones de Terminal Server (Tssdis) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\tssdis.exe (file missing)
O23 - Service: Administrador de carga (uploadmgr) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Sistema de alimentación ininterrumpida (UPS) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\ups.exe (file missing)
O23 - Service: Servicio de disco virtual (vds) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\vds.exe (file missing)
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\vssvc.exe (file missing)
O23 - Service: Horario de Windows (W32Time) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Servicio de publicación World Wide Web (W3SVC) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Servicio de Descubrimiento automático de proxy Web WinHTTP (WinHttpAutoProxySvc) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Instrumental de administración de Windows (winmgmt) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Servicio del número de serie de medio portátil (WmdmPmSN) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Extensiones de controlador de Instrumental de administración de Windows (Wmi) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Actualizaciones automáticas (wuauserv) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Configuración inalámbrica (WZCSVC) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)





Un saludo y muchas gracias.

Hola , te doy la bienvenida al Foro de InfoSpyware.

Si lamentablemente la herramienta DelPSGuard.exe es en el único SO que no funciona y si bien estoy trabajando en una actualización que lo haga es un poco complicado y me va a llevar un tiempo.

Pero no te preocupes ya que lo podemos sacar manualmente con HijackThis por lo que dale FIX a estas entradas:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

O3 - Toolbar: (no name) - {C4D5E343-9494-97E4-8635-440B49E25FD5} - (no file)

O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe

Sin reiniciar con el programa "KillBox" elimina estos archivos:

c:\secure32.html
c:\windows\system32\mdms.exe

Reinicia y nos contas los resultados.

Salu2

Buenos días.

Gracias por la bienvenida (aunque sea en estas "trágicas" circunstancias) y por tu interés.

He hecho lo que me has dicho (las entradas system32 y el fichero ya lo habría borrado ayer, leyendo otros mensajes de este foro).

Parece ser que el servidor va bastante mejor, pero al usuario le sigue saliendo la pantalla de "SPY INFECTED" en el escritorio, sin dejar que la cambie. Seguiré mirando por el foro a ver si encuentro la solución. Supongo que si el ordenador infectado fuese el cliente, no sería tan problemático, pero al salir la pantallita cuando se conecta al Server por Terminal, lo que debe estar infectado es su cuenta de usuario.....

Te paso el log del HijackThis, por si me queda algo por borrar:

Logfile of HijackThis v1.99.1
Scan saved at 9:19:11, on 18/11/2005
Platform: Windows 2003 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 (6.00.3790.0000)

Running processes:
C:\Documents and Settings\Administrador\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\msdtc.exe
C:\WINDOWS\system32\serverappliance\appmgr.exe
C:\WINDOWS\system32\serverappliance\elementmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\llssrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\serverappliance\srvcsurg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\lserver.exe
C:\WINDOWS\System32\tssdis.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\MICROLAB\QPSERV.EXE
C:\temporal\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.elpais.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar2.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar2.dll
O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Acceso directo a la página de propiedades de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Servidor Microlab.lnk = C:\MICROLAB\QPSERV.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: AOM.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Web\AOM.exe
O4 - Global Startup: WeatherCast.lnk = C:\Archivos de programa\WeatherCast\Weather.exe
O8 - Extra context menu item: &Búsqueda en Google - res://c:\windows\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\windows\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\windows\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://c:\windows\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\windows\GoogleToolbar2.dll/cmbacklinks.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O10 - Broken Internet access because of LSP provider 'c:\documents and settings\administrador\windows\system32\mswsock.dl l' missing
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E27EC8C-148D-457C-9E02-4F01D41D792A}: NameServer = 193.152.63.197,195.235.113.3
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9572642-3762-484A-A7EB-DEF8D0D1FC4D}: NameServer = 62.81.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1E27EC8C-148D-457C-9E02-4F01D41D792A}: NameServer = 193.152.63.197,195.235.113.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{1E27EC8C-148D-457C-9E02-4F01D41D792A}: NameServer = 193.152.63.197,195.235.113.3
O21 - SSODL: SysTray.Exys - {7368D5FC-6F5C-4f5b-B964-E67214F67852} - C:\WINDOWS\system32\enidojdl.dll
O21 - SSODL: SysTray.Excn2 - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - C:\WINDOWS\system32\aghhqgcl.dll
O21 - SSODL: SysTray.Exsn - {2368D1FC-2F5C-4f1b-B124-E67214FC78E2} - C:\WINDOWS\system32\bdbokjlm.dll
O21 - SSODL: GE0BEFDF - {0D58114F-1419-75DD-0F9E-4CDF5E7C52B7} - C:\WINDOWS\system32\Fgfkpl32.dll
O23 - Service: Servicio de puerta de enlace de capa de aplicación (ALG) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\alg.exe (file missing)
O23 - Service: Administración de aplicaciones (AppMgmt) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Audio de Windows (AudioSrv) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Servicio de transferencia inteligente en segundo plano (BITS) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Examinador de equipos (Browser) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Servicios de cifrado (CryptSvc) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Sistema de archivos distribuido (Dfs) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\Dfssvc.exe (file missing)
O23 - Service: Cliente DHCP (Dhcp) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\dmadmin.ex e (file missing)
O23 - Service: Administrador de discos lógicos (dmserver) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Cliente DNS (Dnscache) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Servicio de informe de errores (ERSvc) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\services.e xe (file missing)
O23 - Service: Fax - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\fxssvc.exe (file missing)
O23 - Service: Ayuda y soporte técnico (helpsvc) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Servidor (lanmanserver) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Estación de trabajo (lanmanworkstation) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Registro de licencias (LicenseService) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\llssrv.exe (file missing)
O23 - Service: Ayuda de NetBIOS sobre TCP/IP (LmHosts) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Inicio de sesión en red (Netlogon) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Conexiones de red (Netman) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: NLA (Network Location Awareness) (Nla) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Replicación de archivos (NtFrs) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\ntfrs.exe (file missing)
O23 - Service: Proveedor de compatibilidad con seguridad LM de Windows NT (NtLmSsp) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Almacenamiento de medios extraí (NtmsSvc) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\nvsvc32.ex e (file missing)
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\services.e xe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm1 2.exe
O23 - Service: Servicios IPSEC (PolicyAgent) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Almacenamiento protegido (ProtectedStorage) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Administrador de conexión automática de acceso remoto (RasAuto) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Administrador de conexión de acceso remoto (RasMan) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Enrutamiento y acceso remoto (RemoteAccess) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Registro remoto (RemoteRegistry) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Localizador de llamadas a procedimiento remoto (RPC) (RpcLocator) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\locator.ex e (file missing)
O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\Documents.exe (file missing)
O23 - Service: Conjunto resultante de proveedor de directivas (RSoPProv) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\RSoPProv.e xe (file missing)
O23 - Service: Ayudante de la consola de administración especial (sacsvr) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Administrador de cuentas de seguridad (SamSs) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\SCardSvr.e xe (file missing)
O23 - Service: Programador de tareas (Schedule) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Inicio de sesión secundario (seclogon) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Notificación de sucesos del sistema (SENS) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Detección de hardware shell (ShellHWDetection) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Cola de impresión (Spooler) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\spoolsv.ex e (file missing)
O23 - Service: Microsoft Software Shadow Copy Provider (swprv) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\smlogsvc.e xe (file missing)
O23 - Service: Telefonía (TapiSrv) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Licencias de Terminal Server (TermServLicensing) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\lserver.ex e (file missing)
O23 - Service: Temas (Themes) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Cliente de seguimiento de vínculos distribuidos (TrkWks) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Directorio de sesiones de Terminal Server (Tssdis) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\tssdis.exe (file missing)
O23 - Service: Administrador de carga (uploadmgr) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Sistema de alimentación ininterrumpida (UPS) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\ups.exe (file missing)
O23 - Service: Servicio de disco virtual (vds) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\vds.exe (file missing)
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\vssvc.exe (file missing)
O23 - Service: Horario de Windows (W32Time) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Servicio de publicación World Wide Web (W3SVC) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Servicio de Descubrimiento automático de proxy Web WinHTTP (WinHttpAutoProxySvc) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Instrumental de administración de Windows (winmgmt) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Servicio del número de serie de medio portátil (WmdmPmSN) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Extensiones de controlador de Instrumental de administración de Windows (Wmi) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Actualizaciones automáticas (wuauserv) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Configuración inalámbrica (WZCSVC) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)

Gracias de nuevo por vuestra ayuda, y, tomate el tiempo que quieras en la actualización del DelPSGuard.exe. Encima de la ayuda que nos ofreceis, no vamos a ir exigiéndoos rapidez ni atención personalizada.

Buenos días de nuevo.

Creo que vamos aislando el problema, pero todavía no se como solucionarlo.

Cuando he pasado el HijackThis en el ordenador cliente (conectado al server por terminal server), me sale la entrada "O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe". La borro, borro el fichero, reinicio el ordenador (el cliente y el servidor), pero nada, sigue apareciendome en el escritorio "SPYWARE INFECTED", y sigue replicandose el archivo mdms.exe. Además, cuando en el log del HijackThis del server, me sale una entrada "sospechosa": "R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Documents and Settings\Jorge\WINDOWS\SYSTEM32\blank.htm" (jorge precisamente es el usuario cuyo escritorio no se puede cambiar). He borrado esa entrada también, pero nada, sigue el problema. Os paso los log del Server y del Cliente, por si se os ocurre algo:

LOG SERVER:

Logfile of HijackThis v1.99.1
Scan saved at 10:51:05, on 18/11/2005
Platform: Windows 2003 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 (6.00.3790.0000)

Running processes:
C:\Documents and Settings\Administrador\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\msdtc.exe
C:\WINDOWS\system32\serverappliance\appmgr.exe
C:\WINDOWS\system32\serverappliance\elementmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\llssrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\serverappliance\srvcsurg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\lserver.exe
C:\WINDOWS\System32\tssdis.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\MICROLAB\QPSERV.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\sysvcs.exe
C:\ARCHIV~1\ARCHIV~1\qzko\qzkom.exe
C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\ARCHIV~1\ARCHIV~1\qzko\qzkoa.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\ARCHIV~1\ARCHIV~1\qzko\qzkol.exe
C:\temporal\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Documents and Settings\Jorge\WINDOWS\SYSTEM32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.elpais.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar2.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar2.dll
O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Acceso directo a la página de propiedades de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Servidor Microlab.lnk = C:\MICROLAB\QPSERV.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: AOM.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Web\AOM.exe
O4 - Global Startup: WeatherCast.lnk = C:\Archivos de programa\WeatherCast\Weather.exe
O8 - Extra context menu item: &Búsqueda en Google - res://c:\windows\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\windows\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\windows\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://c:\windows\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\windows\GoogleToolbar2.dll/cmbacklinks.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O10 - Broken Internet access because of LSP provider 'c:\documents and settings\administrador\windows\system32\mswsock.dl l' missing
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E27EC8C-148D-457C-9E02-4F01D41D792A}: NameServer = 193.152.63.197,195.235.113.3
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9572642-3762-484A-A7EB-DEF8D0D1FC4D}: NameServer = 62.81.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1E27EC8C-148D-457C-9E02-4F01D41D792A}: NameServer = 193.152.63.197,195.235.113.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{1E27EC8C-148D-457C-9E02-4F01D41D792A}: NameServer = 193.152.63.197,195.235.113.3
O21 - SSODL: SysTray.Exys - {7368D5FC-6F5C-4f5b-B964-E67214F67852} - C:\WINDOWS\system32\enidojdl.dll
O21 - SSODL: SysTray.Excn2 - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - C:\WINDOWS\system32\aghhqgcl.dll
O21 - SSODL: SysTray.Exsn - {2368D1FC-2F5C-4f1b-B124-E67214FC78E2} - C:\WINDOWS\system32\bdbokjlm.dll
O21 - SSODL: GE0BEFDF - {0D58114F-1419-75DD-0F9E-4CDF5E7C52B7} - C:\WINDOWS\system32\Fgfkpl32.dll
O23 - Service: Servicio de puerta de enlace de capa de aplicación (ALG) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\alg.exe (file missing)
O23 - Service: Administración de aplicaciones (AppMgmt) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Audio de Windows (AudioSrv) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Servicio de transferencia inteligente en segundo plano (BITS) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Examinador de equipos (Browser) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Servicios de cifrado (CryptSvc) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Sistema de archivos distribuido (Dfs) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\Dfssvc.exe (file missing)
O23 - Service: Cliente DHCP (Dhcp) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\dmadmin.ex e (file missing)
O23 - Service: Administrador de discos lógicos (dmserver) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Cliente DNS (Dnscache) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Servicio de informe de errores (ERSvc) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\services.e xe (file missing)
O23 - Service: Fax - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\fxssvc.exe (file missing)
O23 - Service: Ayuda y soporte técnico (helpsvc) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Servidor (lanmanserver) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Estación de trabajo (lanmanworkstation) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Registro de licencias (LicenseService) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\llssrv.exe (file missing)
O23 - Service: Ayuda de NetBIOS sobre TCP/IP (LmHosts) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Inicio de sesión en red (Netlogon) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Conexiones de red (Netman) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: NLA (Network Location Awareness) (Nla) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Replicación de archivos (NtFrs) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\ntfrs.exe (file missing)
O23 - Service: Proveedor de compatibilidad con seguridad LM de Windows NT (NtLmSsp) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Almacenamiento de medios extraí (NtmsSvc) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\nvsvc32.ex e (file missing)
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\services.e xe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm1 2.exe
O23 - Service: Servicios IPSEC (PolicyAgent) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Almacenamiento protegido (ProtectedStorage) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Administrador de conexión automática de acceso remoto (RasAuto) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Administrador de conexión de acceso remoto (RasMan) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Enrutamiento y acceso remoto (RemoteAccess) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Registro remoto (RemoteRegistry) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Localizador de llamadas a procedimiento remoto (RPC) (RpcLocator) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\locator.ex e (file missing)
O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\Documents.exe (file missing)
O23 - Service: Conjunto resultante de proveedor de directivas (RSoPProv) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\RSoPProv.e xe (file missing)
O23 - Service: Ayudante de la consola de administración especial (sacsvr) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Administrador de cuentas de seguridad (SamSs) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\SCardSvr.e xe (file missing)
O23 - Service: Programador de tareas (Schedule) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Inicio de sesión secundario (seclogon) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Notificación de sucesos del sistema (SENS) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Detección de hardware shell (ShellHWDetection) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Cola de impresión (Spooler) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\spoolsv.ex e (file missing)
O23 - Service: Microsoft Software Shadow Copy Provider (swprv) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\smlogsvc.e xe (file missing)
O23 - Service: Telefonía (TapiSrv) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Licencias de Terminal Server (TermServLicensing) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\lserver.ex e (file missing)
O23 - Service: Temas (Themes) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Cliente de seguimiento de vínculos distribuidos (TrkWks) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Directorio de sesiones de Terminal Server (Tssdis) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\tssdis.exe (file missing)
O23 - Service: Administrador de carga (uploadmgr) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Sistema de alimentación ininterrumpida (UPS) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\ups.exe (file missing)
O23 - Service: Servicio de disco virtual (vds) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\vds.exe (file missing)
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\vssvc.exe (file missing)
O23 - Service: Horario de Windows (W32Time) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Servicio de publicación World Wide Web (W3SVC) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Servicio de Descubrimiento automático de proxy Web WinHTTP (WinHttpAutoProxySvc) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Instrumental de administración de Windows (winmgmt) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Servicio del número de serie de medio portátil (WmdmPmSN) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Extensiones de controlador de Instrumental de administración de Windows (Wmi) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)
O23 - Service: Actualizaciones automáticas (wuauserv) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\system32\svchost.ex e (file missing)
O23 - Service: Configuración inalámbrica (WZCSVC) - Unknown owner - C:\Documents and Settings\Administrador\WINDOWS\System32\svchost.ex e (file missing)



LOG CLIENTE:

Logfile of HijackThis v1.99.1
Scan saved at 10:50:04, on 18/11/2005
Platform: Windows 2003 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 (6.00.3790.0000)

Running processes:
C:\Documents and Settings\Jorge\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\msdtc.exe
C:\WINDOWS\system32\serverappliance\appmgr.exe
C:\WINDOWS\system32\serverappliance\elementmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\llssrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\serverappliance\srvcsurg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\lserver.exe
C:\WINDOWS\System32\tssdis.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\MICROLAB\QPSERV.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\sysvcs.exe
C:\ARCHIV~1\ARCHIV~1\qzko\qzkom.exe
C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\ARCHIV~1\ARCHIV~1\qzko\qzkoa.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\temporal\HijackThis.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.2.1/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar2.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar2.dll
O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Acceso directo a la página de propiedades de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [aupd] C:\WINDOWS\system32\sysvcs.exe
O4 - HKCU\..\Run: [klop] C:\WINDOWS\4.tmp
O4 - HKCU\..\Run: [qzko] C:\ARCHIV~1\ARCHIV~1\qzko\qzkom.exe
O4 - Startup: Iniciar Microsoft Office Outlook.lnk = C:\Archivos de programa\Microsoft Office\OFFICE11\OUTLOOK.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: AOM.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Web\AOM.exe
O4 - Global Startup: WeatherCast.lnk = C:\Archivos de programa\WeatherCast\Weather.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O10 - Broken Internet access because of LSP provider 'c:\documents and settings\jorge\windows\system32\mswsock.dll' missing
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E27EC8C-148D-457C-9E02-4F01D41D792A}: NameServer = 193.152.63.197,195.235.113.3
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9572642-3762-484A-A7EB-DEF8D0D1FC4D}: NameServer = 62.81.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1E27EC8C-148D-457C-9E02-4F01D41D792A}: NameServer = 193.152.63.197,195.235.113.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{1E27EC8C-148D-457C-9E02-4F01D41D792A}: NameServer = 193.152.63.197,195.235.113.3
O21 - SSODL: SysTray.Exys - {7368D5FC-6F5C-4f5b-B964-E67214F67852} - C:\WINDOWS\system32\enidojdl.dll
O21 - SSODL: SysTray.Excn2 - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - C:\WINDOWS\system32\aghhqgcl.dll
O21 - SSODL: SysTray.Exsn - {2368D1FC-2F5C-4f1b-B124-E67214FC78E2} - C:\WINDOWS\system32\bdbokjlm.dll
O21 - SSODL: GE0BEFDF - {0D58114F-1419-75DD-0F9E-4CDF5E7C52B7} - C:\WINDOWS\system32\Fgfkpl32.dll
O23 - Service: Servicio de puerta de enlace de capa de aplicación (ALG) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\System32\alg.exe (file missing)
O23 - Service: Administración de aplicaciones (AppMgmt) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Audio de Windows (AudioSrv) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Servicio de transferencia inteligente en segundo plano (BITS) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Examinador de equipos (Browser) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Servicios de cifrado (CryptSvc) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Sistema de archivos distribuido (Dfs) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\Dfssvc.exe (file missing)
O23 - Service: Cliente DHCP (Dhcp) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\System32\dmadmin.exe (file missing)
O23 - Service: Administrador de discos lógicos (dmserver) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Cliente DNS (Dnscache) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Servicio de informe de errores (ERSvc) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\services.exe (file missing)
O23 - Service: Fax - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\fxssvc.exe (file missing)
O23 - Service: Ayuda y soporte técnico (helpsvc) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Servidor (lanmanserver) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Estación de trabajo (lanmanworkstation) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Registro de licencias (LicenseService) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\System32\llssrv.exe (file missing)
O23 - Service: Ayuda de NetBIOS sobre TCP/IP (LmHosts) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Inicio de sesión en red (Netlogon) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Conexiones de red (Netman) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: NLA (Network Location Awareness) (Nla) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Replicación de archivos (NtFrs) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\ntfrs.exe (file missing)
O23 - Service: Proveedor de compatibilidad con seguridad LM de Windows NT (NtLmSsp) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Almacenamiento de medios extraí (NtmsSvc) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\nvsvc32.exe (file missing)
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\services.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm1 2.exe
O23 - Service: Servicios IPSEC (PolicyAgent) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Almacenamiento protegido (ProtectedStorage) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Administrador de conexión automática de acceso remoto (RasAuto) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Administrador de conexión de acceso remoto (RasMan) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Enrutamiento y acceso remoto (RemoteAccess) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Registro remoto (RemoteRegistry) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Localizador de llamadas a procedimiento remoto (RPC) (RpcLocator) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\locator.exe (file missing)
O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\Documents.exe (file missing)
O23 - Service: Conjunto resultante de proveedor de directivas (RSoPProv) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\RSoPProv.exe (file missing)
O23 - Service: Ayudante de la consola de administración especial (sacsvr) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Administrador de cuentas de seguridad (SamSs) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\System32\SCardSvr.exe (file missing)
O23 - Service: Programador de tareas (Schedule) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Inicio de sesión secundario (seclogon) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Notificación de sucesos del sistema (SENS) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Detección de hardware shell (ShellHWDetection) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Cola de impresión (Spooler) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\spoolsv.exe (file missing)
O23 - Service: Microsoft Software Shadow Copy Provider (swprv) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\smlogsvc.exe (file missing)
O23 - Service: Telefonía (TapiSrv) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Licencias de Terminal Server (TermServLicensing) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\lserver.exe (file missing)
O23 - Service: Temas (Themes) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Cliente de seguimiento de vínculos distribuidos (TrkWks) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Directorio de sesiones de Terminal Server (Tssdis) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\System32\tssdis.exe (file missing)
O23 - Service: Administrador de carga (uploadmgr) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Sistema de alimentación ininterrumpida (UPS) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\System32\ups.exe (file missing)
O23 - Service: Servicio de disco virtual (vds) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\System32\vds.exe (file missing)
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\System32\vssvc.exe (file missing)
O23 - Service: Horario de Windows (W32Time) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Servicio de publicación World Wide Web (W3SVC) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Servicio de Descubrimiento automático de proxy Web WinHTTP (WinHttpAutoProxySvc) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Instrumental de administración de Windows (winmgmt) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Servicio del número de serie de medio portátil (WmdmPmSN) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Extensiones de controlador de Instrumental de administración de Windows (Wmi) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Actualizaciones automáticas (wuauserv) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Configuración inalámbrica (WZCSVC) - Unknown owner - C:\Documents and Settings\Jorge\WINDOWS\System32\svchost.exe (file missing)


Gracias por vuestro interés, y un saludo.

Hola ignatius, bueno antes que nada me imagino que estarás desconectando la red para hacer la limpieza y te recomiendo que hasta que no esten las dos maquinas limpias no las vuelvas a conectar para no pasar la infección de una a la otra.

En los dos logs encontré el archivo sysvcs.exe que se carga en el inicio y pertenece al Trojan.Abwiz.C, en el server esta solo el archivo y en el cliente esta el archivo y la entrada de registro.

Hace lo siguiente, descarga la herramienta SmiRem.exe en ambos equipos pero no la ejecutes aun.

Entra en ambos en modo a prueba de fallos.

Con los equipos desconectados entre si en el "server" con KillBox elimina este archivo:

C:\WINDOWS\system32\sysvcs.exe

En el "cliente" primero con HijackThis dale FIX a estas entradas

O4 - HKCU\..\Run: [aupd] C:\WINDOWS\system32\sysvcs.exe

O4 - HKCU\..\Run: [klop] C:\WINDOWS\4.tmp
Y con KillBox borras este archivo

C:\WINDOWS\system32\sysvcs.exe

Y sin reiniciar ejecuta el programa SmitRem.exe y cundo se descomprima la carpeta tenes que hacer doble click en el archivo RunThis.bat y sigue las instrucciones del programa

Esta herramienta pasala en ambos equipos y luego me contas.

Salu2