hola parece el SpySherriff pero en algunas cosas es diferente o depronto como soy novato, tengo un servidor con windows 2000 gracias

Logfile of HijackThis v1.99.1
Scan saved at 14:26:14, on 05/12/2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\ARCHIV~1\SAV\DefWatch.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\svchost.exe
C:\Archivos de programa\Autodesk Network License Manager\lmgrd.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\cba\pds.exe
C:\WINNT\System32\ismserv.exe
C:\WINNT\System32\llssrv.exe
C:\Archivos de programa\Autodesk Network License Manager\adskflex.exe
C:\ARCHIV~1\SAV\Rtvscan.exe
C:\ARCHIV~1\Symantec\SYMANT~1\NSCTOP.EXE
C:\WINNT\system32\ntfrs.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\locator.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\dns.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\system32\ams_ii\hndlrsvc.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\system32\ams_ii\iao.exe
C:\WINNT\system32\cba\xfr.exe
C:\WINNT\system32\svchost.exe
C:\Archivos de programa\Microsoft ISA Server\mspadmin.exe
C:\Archivos de programa\Microsoft ISA Server\wspsrv.exe
C:\Archivos de programa\Microsoft ISA Server\w3proxy.exe
C:\Archivos de programa\Microsoft ISA Server\W3Prefch.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\Atiptaxx.exe
C:\ARCHIV~1\SAV\vptray.exe
C:\Archivos de programa\MSN Apps\Updater\01.03.0000.1005\es-la\msnappau.exe
C:\WINNT\system32\paytime.exe
C:\WINNT\tool2.exe
C:\WINNT\system32\internat.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe
C:\winstall.exe
C:\WINNT\system32\paytime.exe
C:\WINNT\tool2.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktopOE.exe
C:\WINNT\system32\wuauclt.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\WINNT\system32\taskmgr.exe
C:\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://best-search.cc/index.php?v=6&aff=6366280
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-la\msntb.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-la\msntb.dll
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [AuCaption] DSA OMSA Reminder
O4 - HKLM\..\Run: [AuFlag] 
O4 - HKLM\..\Run: [3c1807pd] C:\WINNT\SYSTEM32\3cmlink.exe RunServices \Device\3cpipe-3c1807pd
O4 - HKLM\..\Run: [yemarvd] C:\WINNT\system32\yemarvd\sysmon.exe
O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SAV\vptray.exe
O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.03.0000.1005\es-la\msnappau.exe"
O4 - HKLM\..\Run: [PayTime] C:\WINNT\system32\paytime.exe
O4 - HKLM\..\Run: [bxproxy] C:\WINNT\bxproxy.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [PayTime] C:\WINNT\system32\paytime.exe
O4 - HKCU\..\Run: [bxproxy] C:\WINNT\bxproxy.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O9 - Extra button: Musica - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\dial-libremp37\entrar.html (file missing)
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_ES.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab
O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} - http://212.145.159.194/251065/dialercab/WebRecomendada.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B3A5878E-5B4C-4D12-9156-4D7FD8D0AF6C} - http://akamai.downloadv3.com/binaries/one2one/one2oneSvcES.cab
O16 - DPF: {D62B5127-8D03-4175-BA71-E0041595DA4B} (UDConnect Class) - http://03.sharedsource.org/html/TriacomUD_1.0.0.1ie.cab?
O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - http://akamai.downloadv3.com/binaries/IA/netpe32_ES.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = caicedo.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{063CEEB6-9EB6-46A3-81EE-1A80625939EC}: NameServer = 200.21.200.2 200.21.200.79
O17 - HKLM\System\CCS\Services\Tcpip\..\{9876A43D-BE59-413E-A8D9-BED4FCFB4252}: NameServer = 192.168.144.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = caicedo.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = caicedo.com
O17 - HKLM\System\CS2\Services\Tcpip\..\{063CEEB6-9EB6-46A3-81EE-1A80625939EC}: NameServer = 200.21.200.2 200.21.200.79
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = caicedo.com
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\ARCHIV~1\SAV\DefWatch.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\system32\dmadmin.exe
O23 - Service: FLEXlm Service 1 - Macrovision Corporation - C:\Archivos de programa\Autodesk Network License Manager\lmgrd.exe
O23 - Service: Microsoft H.323 Gatekeeper (GKSVC) - Unknown owner - svchost.exe (file missing)
O23 - Service: Intel Alert Handler - Intel® Corporation - C:\WINNT\system32\ams_ii\hndlrsvc.exe
O23 - Service: Intel Alert Originator - Intel® Corporation - C:\WINNT\system32\ams_ii\iao.exe
O23 - Service: Intel File Transfer - Intel® Corporation - C:\WINNT\system32\cba\xfr.exe
O23 - Service: Intel PDS - Intel® Corporation - C:\WINNT\System32\cba\pds.exe
O23 - Service: Servidor de Symantec AntiVirus (Norton AntiVirus Server) - Symantec Corporation - C:\ARCHIV~1\SAV\Rtvscan.exe
O23 - Service: Servicio de reconocimiento de Symantec System Center (NSCTOP) - Symantec Corporation - C:\ARCHIV~1\Symantec\SYMANT~1\NSCTOP.EXE

Hola jhofrerod, te doy la bienvenida al Foro de InfoSpyware.

Paso 1- Inicia en modo normal.

Paso 2- Descarga el programa DelPSGuard.zip, pero aun no lo ejecutes.

Paso 3-Con todos los programas cerrados ejecuta el HijackThis y dale a estas entradas:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://best-search.cc/index.php?v=6&aff=6366280
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

O4 - HKLM\..\Run: [PayTime] C:\WINNT\system32\paytime.exe
O4 - HKLM\..\Run: [bxproxy] C:\WINNT\bxproxy.exe

O4 - HKCU\..\Run: [PayTime] C:\WINNT\system32\paytime.exe
O4 - HKCU\..\Run: [bxproxy] C:\WINNT\bxproxy.exe

O9 - Extra button: Musica - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\dial-libremp37\entrar.html (file missing)

O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_ES.cab

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} - http://212.145.159.194/251065/dialercab/WebRecomendada.cab

O16 - DPF: {B3A5878E-5B4C-4D12-9156-4D7FD8D0AF6C} - http://akamai.downloadv3.com/binaries/one2one/one2oneSvcES.cab
O16 - DPF: {D62B5127-8D03-4175-BA71-E0041595DA4B} (UDConnect Class) - http://03.sharedsource.org/html/TriacomUD_1.0.0.1ie.cab?
O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - http://akamai.downloadv3.com/binaries/IA/netpe32_ES.cab


Paso 4- Sin reiniciar con el programa "KillBox" elimina estos archivos:

c:\secure32.html
C:\winstall.exe
C:\WINNT\tool2.exe
C:\WINNT\bxproxy.exe
C:\WINNT\system32\paytime.exe

Paso 5- Reinicie eh inicie en "Modo a prueba de fallos" (modo seguro)

Paso 6- Con todos los programas cerrados ejecutar el archivo DelPSGuard.exe, instálalo y este va a abrir una ventana verde con la informacion del programa donde tienes que apretar cualquier tecla para que este continué y elimine el parásito.

Paso 7- Usar el Disk Cleaner para limpiar cookies y temporales.

Paso 8- Realiza un escaneo online con "Panda ActiveScan Antivirus."

Reinicia y nos contas los resultados.

Salu2

gracias, ya parece que lo eliminamos gracias a su colaboraciòn, ademas ya le pase el antivirus en linea y no mostro resultados, sabe personas como ustedes son las que hacen grande este mundo, pues aportan su grano de arena desde su experiencias gracias,

p.d que me recomienda para mantener el servidor libre de estos problemas, yo tengo instalado el norton.

gracias mil gracias

Hola jhofrerod, nos alegramos que arreglaras el problema y damos el tema por solucionado.

Hoy en dia hay tantas amenazas que dejarle todo el trabajo a solamente un Antivirus es demasiado por lo que lo tenes que acompañar con otros programas empezando por un navegador rápida y seguro como Firefox.

Después poner un Antispyware como SpyBot y acompañarlo de SpywareBlaster.

Para mayor protección podes también instalar un buen firewall.

Salu2