Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Bueno, pues eso. Este es mi log (gracias adelantadas):

Logfile of HijackThis v1.99.1
Scan saved at 22:26:07, on 07/12/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\TPSrv.exe
C:\WINNT\system32\svchost.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\pavsrv50.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\AVENGINE.EXE
c:\archivos de programa\panda software\panda platinum 2006 internet security\firewall\PNMSRV.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\winud32.exe
C:\WINNT\System32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\crqe32.exe
C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINNT\system32\nvsvc32.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\PavFnSvr.exe
C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\AntiSpam\pskmssvc.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\PsImSvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\ARCHIV~1\MICROS~4\MSSQL\binn\sqlservr.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\apvxdwin.exe
C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\SRVLOAD.EXE
C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\WebProxy.exe
C:\WINNT\System32\cidaemon.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\ARCHIV~1\WINZIP\winzip32.exe
C:\Documents and Settings\Administrador\Configuración local\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {73BC70E6-B13D-6F72-9B7B-B4BFCC37738B} - C:\WINNT\system32\iphm.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [crqe32.exe] C:\WINNT\system32\crqe32.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Service Manager.lnk = C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Coches - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\stp-pillamusica2\entrar.html (file missing)
O9 - Extra button: @C:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA9212BE-D32A-4CB6-A5B0-3B1B3678E960}: NameServer = 194.179.1.100,194.179.1.101
O20 - Winlogon Notify: avldr - C:\WINNT\SYSTEM32\avldr.dll
O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\winud32.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\pavsrv50.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - PANDA SOFTWARE - C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\AntiSpam\pskmssvc.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\archivos de programa\panda software\panda platinum 2006 internet security\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2006 Internet Security\TPSrv.exe

Sigue estos pasos:

1) Ver archivos ocultos

2) Reinicia a prueba de fallos

3) Ejecuta HijackThis con todos los programas cerrados y dale Fix checked a:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {73BC70E6-B13D-6F72-9B7B-B4BFCC37738B} - C:\WINNT\system32\iphm.dll

O4 - HKLM\..\Run: [crqe32.exe] C:\WINNT\system32\crqe32.exe

O9 - Extra button: Coches - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\stp-pillamusica2\entrar.html (file missing)

O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\winud32.exe

4) Elimina estos archivos:

C:\WINNT\winud32.exe
C:\WINNT\system32\crqe32.exe
C:\WINNT\system32\iphm.dll

Para archivos que no se dejen eliminar usa KillBox

5) Reinicia y finaliza con estos pasos:

- Pasa al menos 2 de estos Antivirus Online

- Limpia el registro con RegSeeker y pasa Ad-Aware actualizado.

- Elimina cookies y temporales con Disk Cleaner y vacía la papelera.

Vuelve a reiniciar y nos cuentas los resultados.

Saludos

Bueno, pues parece que en cuanto a eliminar Searchaid, ha ido todo bien: ya no aparecen sus molestos síntomas ni tampoco el antivirus detecta nada. Así que muchas gracias!
No obstante, quiero señalar que a la hora de seguir los pasos indicados, no encontré el archivo C:\WINNT\system32\iphm.dll
No se si este detalle tiene alguna relevancia o no, por eso lo indico.

Por último, al reiniciar finalmente, me ha sucedido que la máquina no era capaz de acceder a red ninguna, ni a la propia LAN en la que debo arrancar algún programa de los que uso, ni tampoco a Internet. Tampoco el correo electrónico me reconocía.

Por ello he restaurado la copia de seguridad del registro, tras lo cual, todo está aparentemente bien, excepción hecha de lo siguiente:

- Al arrancar Windows aparece el siguiente mensaje: "El servicio de fax no puedo iniciar la sesión en su perfil MAPI () y no podrá enviar faxes a ese perfil" con el botón aceptar, que hay que pulsar dos veces para terminar el arranque.
-Un programa en el que la máquina afectada es cliente, no reconoce a la máquina servidor correctamente y no arranca desde este cliente (sí lo hace desde otras máquinas cliente).
-La actualización de seguridad para Windows Journal Viewer (KB886179) no se instala: da el error 0x641.

Por si sirve para mejorar vuestros conocimientos sobre el tema, adjunto el log que resulta ahora (muchas gracias por todo):
Logfile of HijackThis v1.99.1
Scan saved at 11:38:44, on 12/12/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\ARCHIV~1\MICROS~4\MSSQL\binn\sqlservr.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\faxsvc.exe
C:\ARCHIV~1\MICROS~4\MSSQL\binn\sqlagent.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\INFO3\MAILFAX3.EXE
C:\WINNT\system32\internat.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINNT\system32\wuauclt.exe
C:\ARCHIV~1\WINZIP\winzip32.exe
C:\Documents and Settings\Administrador\Configuración local\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MAILFAX3] C:\INFO3\MAILFAX3.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Service Manager.lnk = C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: @C:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: TruePass LocalEPF 6,0,200,81 - https://tp.seg-social.es/TruePassSample/applets/entrusttruepassapplet-localepf.cab
O16 - DPF: {0638A490-83D3-11D4-9A98-009027713462} (DinaTierraCtl.DinaTierra) - http://w3.mapya.es/dinatierra_v3/Redist/DinaTierraCtl.CAB
O16 - DPF: {22B681D4-5A12-4855-8488-0F8BDE6B4691} (NTR Voice 1.8) - http://www.inquiero.com/inquiero/voice/ntrvoice18.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1134378435046
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://aeat.es/imagenes/comun/cactivex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA9212BE-D32A-4CB6-A5B0-3B1B3678E960}: NameServer = 194.179.1.100,194.179.1.101
O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - - (no file)
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

Hola!!!

Esta entrada no la conozco, aunque parece que tenga algo que ver con tu problema del servicio de fax:

O4 - HKLM\..\Run: [MAILFAX3] C:\INFO3\MAILFAX3.EXE

No parace que sea nada malo, pero puedes darle fix y evitar que se cargue en el inicio.

Si no usas el servicio de fax y te está ocasionando problemas, también puedes detener este proceso (Ctrl+Alt+Supr):

faxsvc.exe

A esta otra dale fix:

O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - - (no file)

Después sigue estos pasos:

- Pasa al menos 2 de estos Antivirus Online

- Limpia el registro con RegSeeker y pasa Ad-Aware actualizado.

- Elimina cookies y temporales con Disk Cleaner y vacía la papelera.

Reinicias y nos cuentas...

Saludos

Hola de nuevo!! Y sobre todo gracias por vuestros sabios y buenos consejos.
En primer lugar te aclaro que la entrada O4 - HKLM\..\Run: [MAILFAX3] C:\INFO3\MAILFAX3.EXE seguramente corresponde a un programa gestor de fax, que se carga de inicio y que, una vez arrancada la máquina, coloca su icono al lado del reloj del sistema.
He observado que si en las opciones de Herramientas Administrativas detengo el servicio de fax, al reiniciar no da el error que detallé en mi anterior contestación. En cualquier caso, si dejo el servicios para que inicie automáticamente, o si está detenido, al iniciarlo ya con la máquina arrancada, aparece el mensaje de error.
Por otra parte, la única incidencia que es anormal en el funcionamiento de lo que tenía antes de la infección, es que el Acrobat Reader que tenía instalado -Versión 7.0- seguía en la máquina, pero no como si estuviese instalado como un programa más: están sus archivos y carpetas dentro de la carpeta "Archivos de Programa", pero no aparece en el menú Inicio Programas. Sin embargo, en el panel de control, al ir a Agregar o Quitar Programas, aparece la anterior versión que tenía -6.0.-, y al intentar quitarlo, o intentar instalar el 7.0 aparece una ventana de Windows Installer advirtiendo: "La función que está intentando usar está en un recurso que no está disponible" Y pide que le seleccione una ruta donde se encuentre el paquete de instalación "Adobe Reader 6.0.msi".
Dicho paquete está en mi máquina, pero lo ignora constantemente. He probado a moverlo y seleccionar otra ruta. Pero nada. No hay manera.
Por último, me ha extrañado que al pasar los antivirus on-line -los he pasado todos, menos el Norton- en esta ocasión me han salido nuevos spy's: Java.Trojan.ClassLoader.K, Java.Trojan.ClassLoader.O y Java.Trojan.Exploit.Bytverify2.Gen (Estos con Bit Defender). Con Ad-Aware, también ha salido algo. No obstante, al final los antivirus on-line ya me han dado por limpio -Active Scan y Ewido- y Ad-Aware también. Pero, como digo, me ha resultado extraño: el otro día también quedé limpio y no he navegado más que para entrar en el foro.
Por último, remito el log que resulta ahora:
Logfile of HijackThis v1.99.1
Scan saved at 1:11:18, on 14/12/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\ARCHIV~1\MICROS~4\MSSQL\binn\sqlservr.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\faxsvc.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\WINNT\System32\msdtc.exe
C:\ARCHIV~1\MICROS~4\MSSQL\binn\sqlagent.exe
C:\WINNT\system32\mqsvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\INFO3\MAILFAX3.EXE
C:\WINNT\system32\internat.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\WINNT\System32\mdm.exe
C:\ARCHIV~1\WINZIP\winzip32.exe
C:\Documents and Settings\Administrador\Configuración local\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MAILFAX3] C:\INFO3\MAILFAX3.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Service Manager.lnk = C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: @C:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: TruePass LocalEPF 6,0,200,81 - https://tp.seg-social.es/TruePassSample/applets/entrusttruepassapplet-localepf.cab
O16 - DPF: {0638A490-83D3-11D4-9A98-009027713462} - http://w3.mapya.es/dinatierra_v3/Redist/DinaTierraCtl.CAB
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {22B681D4-5A12-4855-8488-0F8BDE6B4691} - http://www.inquiero.com/inquiero/voice/ntrvoice18.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1134378435046
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} - https://aeat.es/imagenes/comun/cactivex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA9212BE-D32A-4CB6-A5B0-3B1B3678E960}: NameServer = 194.179.1.100,194.179.1.101
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

En my respuesta ayer olvidé detallar que el Windows Installer no estaba presente -o al menos no se ejecutaba- en la máquina afectada por Searchaid, tras la primera actuación. Por ello, lo rescaté del disco de instalación de Office 2000. Quizá esto tenga algo que ver con el problema que comenté ayer.
Otra consecuencia es que ahora el CD1 -Premium- de Office 2000 no arranca, no por sí solo, no ejecutándolo con Inicio Ejecutar.
Gracias de nuevo por todo.

Bueno, pues tu log está limpio.

¿Puedes dejarnos el reporte del antivirus?.

Saludos

Hola!
Únicamente guardé el informe de Bit Defender. Os lo pongo más abajo. Una cuestión más: he observado que al pasar los antivirus se escanean 2 sectores de arranque. ¿Es eso normal?. Gracias por todo de nuevo.
Saludos.

Va el informe de Bit Defender:

BitDefender Online Scanner



Informe de análisis generado a: Tue, Dec 13, 2005 - 22:11:04





Objeto del análisis: A:\;C:\;D:\;E:\;







Estádisticas

Tiempo
00:49:33

Ficheros
390420

Carpetas
3380

Sectores de arranque
2

Archivos
5724

Ficheros comprimidos
65458




Resultados

Virus identificados
3

Ficheros infectados
8

Ficheros sospechosos
0

Advertencias
0

Desinfectados
0

Ficheros eliminados
8




Información sobre los motores de análisis

Firmas de virus
243854

Versión del motor de análisis
AVCORE v1.0 (build 2292) (i386) (Mar 3 2005 11:57:29)

Complementos de análisis
13

Complementos de archivo
39

Complementos de descomprimir
4

Complementos de correo
6

Complementos de sistema
1




Configuración de análisis

Primera acción
Desinfectar

Segunda acción
Eliminar

Heurísticas
Sí

Activar advertencias
Sí

Extensiones analizadas
*;

Excluir extensiones


Analizar correo
Sí

Analizar archivos
Sí

Analizar ficheros comprimidos
Sí

Analizar ficheros
Sí

Analizar el sector de arranque
Sí




Fichero analizado
Estado

C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \arr3.jar-1c1dadc1-4d939c12.zip=>Beyond.class
Infectado con: Java.Trojan.ClassLoader.K

C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \arr3.jar-1c1dadc1-4d939c12.zip=>Beyond.class
La desinfección ha fallado

C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \arr3.jar-1c1dadc1-4d939c12.zip=>Beyond.class
Eliminado

C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \arr3.jar-1c1dadc1-4d939c12.zip
Actualizado

C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \arr3.jar-29e71f30-19c7b08d.zip=>Beyond.class
Infectado con: Java.Trojan.ClassLoader.K

C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \arr3.jar-29e71f30-19c7b08d.zip=>Beyond.class
La desinfección ha fallado

C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \arr3.jar-29e71f30-19c7b08d.zip=>Beyond.class
Eliminado

C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \arr3.jar-29e71f30-19c7b08d.zip
Actualizado

C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \arr3.jar-71ac9449-7c1f1850.zip=>Beyond.class
Infectado con: Java.Trojan.ClassLoader.K

C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \arr3.jar-71ac9449-7c1f1850.zip=>Beyond.class
La desinfección ha fallado

C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \arr3.jar-71ac9449-7c1f1850.zip=>Beyond.class
Eliminado

C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \arr3.jar-71ac9449-7c1f1850.zip
Actualizado

C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \arr3.jar-776ec5c9-38e022d1.zip=>Beyond.class
Infectado con: Java.Trojan.ClassLoader.K

C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \arr3.jar-776ec5c9-38e022d1.zip=>Beyond.class
La desinfección ha fallado

C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \arr3.jar-776ec5c9-38e022d1.zip=>Beyond.class
Eliminado

C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \arr3.jar-776ec5c9-38e022d1.zip
Actualizado

C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \arr3.jar-77ab6a0b-3f5d6008.zip=>Beyond.class
Infectado con: Java.Trojan.ClassLoader.K

C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \arr3.jar-77ab6a0b-3f5d6008.zip=>Beyond.class
La desinfección ha fallado

C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \arr3.jar-77ab6a0b-3f5d6008.zip=>Beyond.class
Eliminado

C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \arr3.jar-77ab6a0b-3f5d6008.zip
Actualizado

C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \arr3.jar-908b279-3f802e41.zip=>Beyond.class
Infectado con: Java.Trojan.ClassLoader.K

C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \arr3.jar-908b279-3f802e41.zip=>Beyond.class
La desinfección ha fallado

C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \arr3.jar-908b279-3f802e41.zip=>Beyond.class
Eliminado

C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \arr3.jar-908b279-3f802e41.zip
Actualizado

C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \f.jar-71d2f9a7-45d6c913.zip=>BB.class
Infectado con: Java.Trojan.ClassLoader.O

C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \f.jar-71d2f9a7-45d6c913.zip=>BB.class
La desinfección ha fallado

C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \f.jar-71d2f9a7-45d6c913.zip=>BB.class
Eliminado

C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \f.jar-71d2f9a7-45d6c913.zip
Actualizado

C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \f.jar-71d2f9a7-45d6c913.zip=>Beyond.class
Infectado con: Java.Trojan.Exploit.Bytverify2.Gen

C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \f.jar-71d2f9a7-45d6c913.zip=>Beyond.class
La desinfección ha fallado

C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \f.jar-71d2f9a7-45d6c913.zip=>Beyond.class
Eliminado

C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \f.jar-71d2f9a7-45d6c913.zip
Actualizado

Bueno, es normal si tienes dos particiones o dos discos duros.

Elimina los archivos infectados con KillBox.

Después nos cuentas.

Saludos

Que yo sepa, no tengo más que un solo disco duro, sin particiones.
Sin embargo, otra máquina antigua, que fue reemplazada por esta, y consecuentemente volcada la información que contenía, sí tenía dos particiones. ¿Puede ser que en algún sitio de esta máquina esté escrito que tiene las particiones de la antigua?
En aquella máquina antigua, la mayor parte de los programas -excepto Windows-, estaba en la unidad D:, que era una partición de la C:. ¿Puede tener esto algo que ver que con lo que comenté en mi respuesta anterior respecto a los problemas con Windows Installer y Acrobat Reader?
Saludos.