Hola buenos dias.... el otro dia mientras conversaba por el msn, en una conversacion con un amigo me aparecio un enlace que ponia "mira la nueva animacion de bush".... mi error fue abrirlo y ahora stoy infectado.
Me ha bloqueado el avast y no puedo eliminarlo con el killbox.
A ver si me podeis hechar una mano... gracias
Aki os dejo el log de Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:00:27, on 16/05/08
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\csrss.exe
C:\WINDOWS\services.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe
C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe
C:\Archivos de programa\Comta\Comta.exe
C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\calc.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SpybotSnD] "C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [csrss] C:\WINDOWS\csrss.exe
O4 - HKCU\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=19588
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7650 bytes

Hola joaquin_jas, bienvenido al foro de Infospyware.

Por favor realiza los siguientes pasos:


-Apaga el "Restaurar Sistema" (solo en Win Me y XP) y activa ver archivos ocultos.

- Descarga, Instala y/o actualiza y estos programas, (pero no las ejecutes aun).

• MSNCleaner.zip---> Al final del post, lo descomprimes en el escritorio pero no lo uses todavia.
  
  
• SDFix.exe <---instalalo pero no le ejecutes todavia. Por defecto este programa se instalara en la carpeta C:\SDFix.

-Reinicia en Modo Seguro (a prueba de fallos) y con todos los programas cerrados ejecuta el Hijackthis y dale a las siguientes entradas:

O4 - HKCU\..\Run: [csrss] C:\WINDOWS\csrss.exe

O4 - HKCU\..\Run: [services] C:\WINDOWS\services.exe



-Ejecuta estos programas (de a uno).

• MSNCleaner.exe (Ultima Versión)

• Ejecuta SDFix siguiendo los pasos indicados en su Manual.

-Reinicia en modo normal y usa el CCleaner para limpiar el sistema.
Primero utiliza la opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
Luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

-Saca un nuevo Log de Hijackthis y lo pegas junto a los reportes de MSNCleaner y SDFix para revisarlos y nos comentas como esta trabajando el PC.

NOTA:
-Para mayor comodidad imprime los pasos.
-Al terminar los pasos esconde los archivos ocultos y activa restaurar sistema.
-Recuerda volver y contarnos los resultados.

Hola, muchas gracias por su ayuda.
El SDFix no me dejaba chequear dandole a la "Y" y me salia una ventana que me decia que los controladores no eran validos y me daba la opcion de cerrar y omitir... pero ni se salia ni omitia. Le di a la "A" y chequeó creando el siguiente archivo:

System Report
*************

Run on 19/05/08 at 08:39

Microsoft Windows XP [Versi¢n 5.1.2600]

Current user is an administrator

Running Processes:

\SystemRoot\System32\smss.exe [164]
\??\C:\WINDOWS\system32\csrss.exe [212]
\??\C:\WINDOWS\system32\winlogon.exe [236]
C:\WINDOWS\system32\services.exe [280]
C:\WINDOWS\system32\lsass.exe [292]
C:\WINDOWS\system32\svchost.exe [444]
C:\WINDOWS\system32\svchost.exe [520]
C:\WINDOWS\system32\svchost.exe [564]


Drivers - Running:

ACPI
atapi
Beep
Cdfs
Cdrom
Disk
dmio
dmload
Fastfat
Fdc
Flpydisk
FltMgr
Ftdisk
HDAudBus
HidUsb
i8042prt
Imapi
isapnp
Kbdclass
KSecDD
Mouclass
mouhid
MountMgr
Msfs
mssmbios
MTsensor
Mup
NDIS
Npfs
Ntfs
Null
PartMgr
PCI
PCIIde
rdpdr
redbook
swenum
TermDD
Update
usbehci
usbhub
usbohci
USBSTOR
VgaSave
VolSnap


Drivers - Stopped:

Aavmker4
Abiosdsk
abp480n5
ACPIEC
adpu160m
aec
AFD
Aha154x
aic78u2
aic78xx
AliIde
AmdK8
amsint
asc
asc3350p
asc3550
aswFsBlk
aswMon2
aswRdr
aswSP
aswTdi
AsyncMac
Atdisk
Atmarpc
audstub
cbidf2k
cd20xrnt
Cdaudio
Changer
CmdIde
Cpqarray
dac960nt
dmboot
DMusic
dpti2o
drmkaud
Fips
Gpc
hpn
HTTP
i2omgmt
i2omp
ini910u
IntcAzAudAddService
IntelIde
Ip6Fw
IpFilterDriver
IpInIp
IpNat
IPSec
IRENUM
kmixer
lbrtfdc
mnmdd
Modem
mraid35x
MRxDAV
MRxSmb
MSKSSRV
MSPCLOCK
MSPQM
NdisTapi
Ndisuio
NdisWan
NDProxy
NetBIOS
NetBT
nmwcd
nmwcdc
nmwcdcj
nmwcdcm
nv
NwlnkFlt
NwlnkFwd
Parport
ParVdm
PCIDump
Pcmcia
PDCOMP
PDFRAME
PDRELI
PDRFRAME
perc2
perc2hib
PptpMiniport
Processor
PSched
Ptilink
ql1080
Ql10wnt
ql12160
ql1240
ql1280
RasAcd
Rasl2tp
RasPppoe
Raspti
Rdbss
RDPCDD
RDPWD
RTLE8023xp
Secdrv
serenum
Serial
Sfloppy
Simbad
Sparrow
splitter
sr
Srv
swmidi
symc810
symc8xx
sym_hi
sym_u3
sysaudio
Tcpip
TDPIPE
TDTCP
TosIde
Udfs
ultra
usbscan
ViaIde
Wanarp
WDICA
wdmaud
WS2IFSL
{95808DC4-FA4A-4c74-92FE-5B863F82066B}


Services - Running:

CryptSvc
DcomLaunch
dmserver
Eventlog
helpsvc
PlugPlay
RpcSs
winmgmt


Services - Stopped:

Alerter
ALG
AppMgmt
aspnet_state
AudioSrv
avast!
avast!
avast!
BITS
Browser
CiSvc
ClipSrv
clr_optimization_v2.0.50727_32
COMSysApp
Dhcp
dmadmin
Dnscache
ERSvc
EventSystem
FastUserSwitchingCompatibility
HidServ
HTTPFilter
ImapiService
lanmanserver
lanmanworkstation
LmHosts
MDM
Messenger
mnmsrvc
MSDTC
MSIServer
NBService
NetDDE
NetDDEdsdm
Netlogon
Netman
Nla
NMIndexingService
NtLmSsp
NtmsSvc
NVSvc
ose
PolicyAgent
ProtectedStorage
RasAuto
RasMan
RDSessMgr
RemoteAccess
RemoteRegistry
RichVideo
RpcLocator
RSVP
SamSs
SCardSvr
Schedule
seclogon
SENS
ServiceLayer
SharedAccess
ShellHWDetection
Spooler
srservice
SSDPSRV
stisvc
SwPrv
SysmonLog
TapiSrv
TermService
Themes
TlntSvr
TrkWks
UMWdf
upnphost
UPS
usnjsvc
VSS
W32Time
WebClient
WLSetupSvc
WmdmPmSN
Wmi
WmiApSrv
wscsvc
wuauserv
WZCSVC
xmlprov


Files Created/Modified - 60 Days:


C:\



C:\WINDOWS\



C:\Archivos de programa\



Files with hidden attributes:



Program Folders:

C:\Archivos de programa\

Adobe
Alwil Software
Archivos comunes
ATI Technologies
CCleaner
Codec Pack de ELISOFT
Common Files
ComPlus Applications
Comta
CyberLink
DIFX
Disk Cleaner
eMule
ESET
Free Audio Pack
InstallShield Installation Information
Internet Explorer
Java
LimeWire
Messenger
Messenger Plus! Live
microsoft frontpage
Microsoft Office
Microsoft Visual Studio
Microsoft Works
Microsoft.NET
Movie Maker
Mozilla Firefox
MSN
MSN Gaming Zone
MySQL
Nero
NetMeeting
Nokia
Online Services
Outlook Express
Panda Security
PC Connectivity Solution
PremiumSoft
Realtek
RegCleaner
Regseeker
Servicios en l¡nea
Spybot - Search & Destroy
Telefonica
TME
Trend Micro
Uninstall Information
Windows Live
Windows Media Player
Windows NT
WindowsUpdate
WinRAR
xerox
Yahoo!

C:\Archivos de programa\Archivos comunes\

Adobe
Ahead
DESIGNER
InstallShield
Java
Microsoft Shared
MSSoap
Nokia
ODBC
PCSuite
Services
SpeechEngines
SWF Studio
System
Teleca Shared
WindowsLiveInstaller


Add/Remove Programs:

Paquete de controladores de Windows - Nokia Modem (02/15/2007 3.1)
Paquete de controladores de Windows - Nokia (WUDFRd) WPD (06/01/2007 6.84.33.0)
Panda ActiveScan 2.0
Adobe Flash Player ActiveX
ATI - Utilidad de desinstalación de software
Paquete de controladores de Windows - Nokia Modem (02/15/2007 3.1)
CCleaner (remove only)
Paquete de controladores de Windows - Nokia Modem (05/24/2007 6.84.0.1)
Codec Pack de ELISOFT v14.0
Paquete de controladores de Windows - Advanced Micro Devices (AmdK8) Processor (05/27/2006 1.3.2.0)
Disk Cleaner (remove only)
eMule
Free Mp3 Wma Converter V 1.4.0
HijackThis 2.0.2
High Definition Audio Driver Package - KB888111
Actualización de seguridad para Windows XP (KB890046)
LimeWire 4.17.9
Messenger Plus! Live
Microsoft .NET Framework 2.0
Mozilla Firefox (2.0)
Nokia PC Suite
NVIDIA Drivers
Microsoft Office 97 Professional
PremiumSoft Navicat MySQL 7.1
Regseeker 1.55
Spybot - Search & Destroy 1.5.2.20
Windows Media Format Runtime
Compresor WinRAR
Yahoo! Install Manager
MySQL Connector/ODBC 3.51
Nokia Connectivity Cable Driver
Java(TM) 6 Update 5
MySQL Administrator 1.0
PowerDVD
Microsoft .NET Framework 2.0
Nokia Lifeblog
Verificador Firma Digital
Microsoft Office Professional Edition 2003
PC Connectivity Solution
Nero 7 Ultra Edition
Windows Live installer
Nokia PC Suite
Adobe Reader 7.0.9 - Español
Spybot - Search & Destroy
REALTEK GbE & FE Ethernet PCI-E NIC Driver
Realtek High Definition Audio Driver
Windows Live Messenger


Run Values:

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"RTHDCPL"="RTHDCPL.EXE"
"Alcmtr"="ALCMTR.EXE"
"NeroFilterCheck"="C:\\Archivos de programa\\Archivos comunes\\Ahead\\Lib\\NeroCheck.exe"
"RemoteControl"="\"C:\\Archivos de programa\\CyberLink\\PowerDVD\\PDVDServ.exe\""
"LanguageShortcut"="\"C:\\Archivos de programa\\CyberLink\\PowerDVD\\Language\\Language. exe\""
"PCSuiteTrayApplication"="C:\\Archivos de programa\\Nokia\\Nokia PC Suite 6\\LaunchApplication.exe -startup"
"SunJavaUpdateSched"="\"C:\\Archivos de programa\\Java\\jre1.6.0_05\\bin\\jusched.exe\""
"avast!"="C:\\ARCHIV~1\\ALWILS~1\\Avast4\\ashDisp. exe"
"SpybotSnD"="\"C:\\Archivos de programa\\Spybot - Search & Destroy\\SpybotSD.exe\""
"MSConfig"="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binari es\\MSConfig.exe /auto"
"SDFix"="C:\\SDFix\\RunThis.bat /second"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Archivos de programa\\Archivos comunes\\Ahead\\Lib\\NMBgMonitor.exe\""
"MsnMsgr"="\"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe\" /background"
"SpybotSD TeaTimer"="C:\\Archivos de programa\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\runonce]
"nlpo_01"=hex(2):72,00,75,00,6e,00,64,00,6c,00,6c, 00,33,00,32,00,20,00,61,00,\
64,00,76,00,70,00,61,00,63,00,6b,00,2e,00,64,00,6c ,00,6c,00,2c,00,4c,00,61,\
00,75,00,6e,00,63,00,68,00,49,00,4e,00,46,00,53,00 ,65,00,63,00,74,00,69,00,\
6f,00,6e,00,45,00,78,00,20,00,6e,00,6c,00,69,00,74 ,00,65,00,2e,00,69,00,6e,\
00,66,00,2c,00,55,00,2c,00,2c,00,34,00,2c,00,4e,00 ,00,00
"nlpo_02"=hex(2):72,00,75,00,6e,00,64,00,6c,00,6c, 00,33,00,32,00,20,00,61,00,\
64,00,76,00,70,00,61,00,63,00,6b,00,2e,00,64,00,6c ,00,6c,00,2c,00,4c,00,61,\
00,75,00,6e,00,63,00,68,00,49,00,4e,00,46,00,53,00 ,65,00,63,00,74,00,69,00,\
6f,00,6e,00,45,00,78,00,20,00,6e,00,6c,00,69,00,74 ,00,65,00,2e,00,69,00,6e,\
00,66,00,2c,00,55,00,2c,00,2c,00,34,00,2c,00,4e,00 ,00,00
"nlpo_03"=hex(2):72,00,75,00,6e,00,64,00,6c,00,6c, 00,33,00,32,00,20,00,61,00,\
64,00,76,00,70,00,61,00,63,00,6b,00,2e,00,64,00,6c ,00,6c,00,2c,00,4c,00,61,\
00,75,00,6e,00,63,00,68,00,49,00,4e,00,46,00,53,00 ,65,00,63,00,74,00,69,00,\
6f,00,6e,00,45,00,78,00,20,00,6e,00,6c,00,69,00,74 ,00,65,00,2e,00,69,00,6e,\
00,66,00,2c,00,55,00,2c,00,2c,00,34,00,2c,00,4e,00 ,00,00
"nlpo_04"=hex(2):72,00,75,00,6e,00,64,00,6c,00,6c, 00,33,00,32,00,20,00,61,00,\
64,00,76,00,70,00,61,00,63,00,6b,00,2e,00,64,00,6c ,00,6c,00,2c,00,4c,00,61,\
00,75,00,6e,00,63,00,68,00,49,00,4e,00,46,00,53,00 ,65,00,63,00,74,00,69,00,\
6f,00,6e,00,45,00,78,00,20,00,6e,00,6c,00,69,00,74 ,00,65,00,2e,00,69,00,6e,\
00,66,00,2c,00,55,00,2c,00,2c,00,34,00,2c,00,4e,00 ,00,00
"nlpo_05"=hex(2):72,00,75,00,6e,00,64,00,6c,00,6c, 00,33,00,32,00,20,00,61,00,\
64,00,76,00,70,00,61,00,63,00,6b,00,2e,00,64,00,6c ,00,6c,00,2c,00,4c,00,61,\
00,75,00,6e,00,63,00,68,00,49,00,4e,00,46,00,53,00 ,65,00,63,00,74,00,69,00,\
6f,00,6e,00,45,00,78,00,20,00,6e,00,6c,00,69,00,74 ,00,65,00,2e,00,69,00,6e,\
00,66,00,2c,00,55,00,2c,00,2c,00,34,00,2c,00,4e,00 ,00,00
"nlpo_06"=hex(2):72,00,75,00,6e,00,64,00,6c,00,6c, 00,33,00,32,00,20,00,61,00,\
64,00,76,00,70,00,61,00,63,00,6b,00,2e,00,64,00,6c ,00,6c,00,2c,00,4c,00,61,\
00,75,00,6e,00,63,00,68,00,49,00,4e,00,46,00,53,00 ,65,00,63,00,74,00,69,00,\
6f,00,6e,00,45,00,78,00,20,00,6e,00,6c,00,69,00,74 ,00,65,00,2e,00,69,00,6e,\
00,66,00,2c,00,55,00,2c,00,2c,00,34,00,2c,00,4e,00 ,00,00
"SDFix"="C:\\SDFix\\RunThis.bat /second"


Bot Check:

SERVICE_NAME: wscsvc
DISPLAY_NAME : Centro de seguridad
START_TYPE : 2 AUTO_START

SERVICE_NAME: sharedaccess
DISPLAY_NAME : Firewall de Windows/Conexión compartida a Internet (ICS)
START_TYPE : 2 AUTO_START

SERVICE_NAME: wuauserv
DISPLAY_NAME : Actualizaciones automáticas
START_TYPE : 2 AUTO_START

SERVICE_NAME: srservice
DISPLAY_NAME : Servicio de restauración de sistema
START_TYPE : 2 AUTO_START

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM"="Y"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Lsa]
"restrictanonymous"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"WaitToKillServiceTimeout"="20000"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"SfcDisable"=dword:00000000
"Shell"="Explorer.exe"
"Userinit"="C:\\WINDOWS\\system32\\userinit.ex e,"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\shell extensions]



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\NetBT\Parameters]
"TransportBindName"="\\Device\\"


ShellExecuteHooks:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""



Environment:


HKEY_LOCAL_MACHINE\system\currentcontrolset\contro l\session manager\environment
ComSpec REG_EXPAND_SZ %SystemRoot%\system32\cmd.exe
Path REG_EXPAND_SZ C:\Archivos de programa\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%Syst emRoot%\System32\Wbem
windir REG_EXPAND_SZ %SystemRoot%
OS REG_SZ Windows_NT
PATHEXT REG_SZ .COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
TEMP REG_EXPAND_SZ %SystemRoot%\TEMP
TMP REG_EXPAND_SZ %SystemRoot%\TEMP
PathVerificador REG_SZ C:\Archivos de programa\TME\Verificador Firma Digital\
SAFEBOOT_OPTION REG_SZ MINIMAL

SecurityProviders:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SecurityProviders
SecurityProviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Authentication Packages:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0


Subsystem Startup:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Session Manager\SubSystems]
"Windows"="%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16"


Midi Drivers:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32]
"midi"="wdmaud.drv"


Non-Default IFEO Debugger:


Non-Default Installed Components:


Non-Default Safeboot Minimal:


File Associations:


[HKEY_CLASSES_ROOT\batfile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\cmdfile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\comfile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\htafile\shell\open\command]
@="C:\\WINDOWS\\system32\\mshta.exe \"%1\" %*"

[HKEY_CLASSES_ROOT\http\shell\open\command]
@="\"C:\\Archivos de programa\\Internet Explorer\\iexplore.exe\" -nohome"

[HKEY_CLASSES_ROOT\htmlfile\shell\open\command]
@="\"C:\\Archivos de programa\\Internet Explorer\\iexplore.exe\" -nohome"

[HKEY_CLASSES_ROOT\regedit\shell\open\command]
@="regedit.exe %1"

[HKEY_CLASSES_ROOT\regfile\shell\open\command]
@="regedit.exe \"%1\""

[HKEY_CLASSES_ROOT\scrfile\shell\open\command]
@="\"%1\" /S"

[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
@="%SystemRoot%\system32\NOTEPAD.EXE %1"


Finished!



Y aqui dejo el log de Hijackthis y el reporte de msncleaner:

HIJACKTHIS
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9:11:21, on 19/05/08
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SpybotSnD] "C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [csrss] C:\WINDOWS\csrss.exe
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=19588
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7129 bytes


MSNCLEANER
- Reporte MSNCleaner 1.6.3 by www.forospyware.com
- Reporte Creado: 19/05/08 a las 8:30:50
- Sistema Operativo: Windows XP
- Modo de Inicio: Prueba de fallos
_________________________________________

Archivos detectados: 2
Archivos eliminados: 2
Archivos no eliminados: 0

C:\WINDOWS\csrss.exe <--- Eliminado
C:\WINDOWS\services.exe <--- Eliminado

Archivo Hosts restaurado

Ya termino comentandole que al encender o reiniciar me cambia la configuracion del escritorio y una sola vez me ha salido un elemento emergente de publicidad.

Espero su contestacion. Muchisimas gracias.

Hola joaquin_jas a continuación realiza los siguientes pasos:

-Apaga el "Restaurar Sistema" (solo en Win Me y XP) y activa ver archivos ocultos.

- Descarga, Instala y/o actualiza estos programas, (pero no las ejecutes aun).

• Malwarebytes' Anti-Malware <---instalalo y actualizalo pero no lo ejecutes todavia.
  NOTA: Si despues de instalarlo el lenguaje esta en Ingles ve a la pestaña "Settings" y lo cambias a Español.
  
  
• OTMoveit2 <-- Guardarlo en el escritorio.

- Reinicia en Modo Seguro (a prueba de fallos) .

Ejecuta Hijackthis con todos los programas cerrados y dale a la siguiente entrada:

O4 - HKCU\..\Run: [csrss] C:\WINDOWS\csrss.exe



-Ejecuta estos programas (de a uno).

• Malwarebytes' Anti-Malware

• Realiza un escaneo completo del PC y elimina las infecciones que este detecte como lo indica su manual.
  El reporte queda guardado en la pestaña "Logs" o "Registros" en español, abres el reporte y copias el contenido para pegarlo en este tema.

• Ejecutar OTMoveIt2.exe siguiendo las indicaciones de su manual.

• Copiar el texto que se encuentra en el recuadrado de abajo, y pegar el texto en el marco izquierdo de OTMoveIt2 llamado "Paste Standard List of Files / Folders to be Moved".
  
  NOTA: Asegurarse que esté marcado "Unregister Dll's and Ocx's".

• Hacer clic en MoveIt! para lanzar la supresión. Se abrirá un aviso preguntando si deseamos reiniciar el PC, seleccione "SI" , su PC era reiniciado.

-Al reiniciar en modo normal.

• Usa el CCleaner para limpiar el sistema.

Primero utiliza la opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
Luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

-Saca un nuevo log deHijacktjis y pegalo para analizarlo junto al reporte de Malwarebytes Antimalware.

NOTA:
-Para mayor comodidad imprime los pasos.
-Al terminar los pasos esconde los archivos ocultos y activa restaurar sistema.
-Recuerda volver y contarnos los resultados.