Hola,
antes de nada, decir que este es mi primer post aqui y felicitarles por la página.

El problema que tengo es que me aparece un mensaje extraño (una caja de diálogo normal, sólo con 2 caracteres extraños como título de la misma, y los mismo 2 caracteres como texto del mensaje); sólo hay un botón para cerrarla "ACEPTAR" pues no desaparece al intentar cerrar la ventana. Esta ventana aparece al iniciar la sesión, y sólo deja continuar después de dar ACEPTAR. Empezó hoy.

Esto me empezó a ocurrir después de instalar/desinstalar varios programas:
* Desinstalar Norton Ghost
* Desinstalar Kerio PF
* Instalar Zonealarm Pro

Ayer también me salió una ventanita con un mensaje que me decía más o menos -no recuerdo bien pues no presté mucha atención- lo siguiente: "Es necesario actualizar el certificado ó servidor de seguridad"... algo así. Si daba en CANCELAR, el mensaje volvía simempre que estuviera corriendo OUTLOOK 2003, así que al final no me quedó más remedio que dar en ACEPTAR pues necesito usar el Outlook. No había ninguna referencia a ningún software, por lo que no sé si este mensaje procede de Outlook, WinXP, o incluso angú virus o troyano.

El antivirus que tengo es NOD32, actualizado con fecha de hoy, y no detecta nada después de chequear en modo normal y en modo seguro.

Alguna sugerencia??

Gracias,
GaloDourado

mira en msconfig (aun no se que sistema operativo usas ,pero deduzco que es el XP ) ,los programas que desinstalastes que no se ejecuten al iniciar,en muchos casos ocurre esto y ocasiona errores similares, haz un repaso con dos antivirus online de mi firma , seguidamente realiza este procedimiento para mirar si tienes bichos en tu Pc , despues limpia el registro con el regseeker y nos cuentas como te fue.

Pues bien, he mirado en el msconfig y todo está ok, a excepción de la siguiente entrada que no tengo ni idea de lo que es (aunque lo que si es seguro, es que hace mucho tiempo que está ahí, y el dichoso mensaje apareció ayer); la entrada en los programas de inicio es la siguiente:

HKCU\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\W Indows\LOAD

He probado a desactivarla, pero luego al iniciar todo está igual.

Ha pasado el AdAware SE 1.5 y también el PestPatrol, ambos actualizados... no han encontrado nada.
He bajado e instalado el Regseeker, dado varias pasadas... todo sigue igual.

Hoy el Zonealarm me detectó un MSNChatMonitor... lo ha puesto en cuarentena, pero imagino que no sea eso tampoco!!!

Ya no sé más que hacer... sugerencias??

Hola,
pues nada, que no consigo hacer desaparecer en dichoso mensaje. Todo parece estar OK en el funcionamiento del ordenador, ahora va bien, no se cuelga, no se abren ventanas, no hay actividad sospechosa reportad por el Zonealarm, nada... pero me tiene muy intrigado esa ventana que se abre justo antes de llegar al inicio de sesión -tiene que ser un servicio cuando se abre antes de llegar al inicio se sesión-, y si no le doy a aceptar, no consigo que presente la pantalla para introducir "usuario" y "clave".
Lo malo es que al no poner información ninguna en la ventana, no sé a lo que le estoy dando a "Aceptar" !!!

Bueno, no ha habido respuestas, imagino que tenga que quedar todo como está, pero... si alguien tiene alguna idea, sería muy bienvenida.

Gracias

Coloca acá el mensaje exacto que vez al iniciar el sistema



Salu2

Bueno investigando un poco tu caso he encontrado que al parecer se trata de un Troyano, aqui tienes info .

Hicistes un chequeo con dos antivirus online ?

realiza la prueba y mira haber si detecta algo.

TIenes tu Xp actualizado a la ultima?

Pues na... todo igual.
No puedo colocar una copia exacta del mensaje porque el mensajito sale antes de iniciar la sesión y no puedo usar un capturador, pero es +o- así: una ventana de información, con DOS caracteres extraños (como 2 O cuadradas como título del mensaje, y otros 2 o 3 caracteres extraños como texto del mensaje que aparecen justo en la esquina superior izquierda de la ventana; sólo tiene la opción de ACEPTAR para continuar cargando y llegar al inicio de sesión.
He ido al link que me dejas donde se dice que es un troyano, pero es que no tengo ninguno de los archivos que dice ahí, ni me cambia nada en la página del explorer ni nada.
Ya he pasado 2 antivirus on-line (kaspersky y panda), el NOD32 y el Zonealarm... nada, no encuentran bichos.
Mi SO es WinXP Pro, y lo tengo actualizado.

Sds.

Os dejo mi log del HijackThis.

Sds.

Logfile of HijackThis v1.99.1
Scan saved at 9:11:32, on 19-12-05
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Multimedia\Ahead Nero\InCD\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\crypserv.exe
C:\Archivos de programa\Utilidades\Diskeeper Pro\DkService.exe
c:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\Archivos de programa\HPQ\Quick Launch Buttons\EabServr.exe
C:\Archivos de programa\Multimedia\Ahead Nero\InCD\InCD\InCD.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\archivos de programa\utilidades\deskcalc pro\deskcalc.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\Archivos de programa\Comunicaciones\Skype\Phone\Skype.exe
C:\Archivos de programa\Messenger\MSMSGS.EXE
C:\Archivos de programa\Utilidades\Rainmeter\Rainmeter.exe
C:\Archivos de programa\Sun\StarOffice 8\program\soffice.exe
C:\Archivos de programa\Sun\StarOffice 8\program\soffice.BIN
C:\Archivos de programa\Utilidades\Total Commander\TOTALCMD.EXE
C:\Documents and Settings\Emilio\Mis documentos\Torrent\HijackThis.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://farejador.ig.com.br/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://farejador.ig.com.br/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=:0
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: &iG - {7EEF1E3D-FD97-4401-BCDB-5827F2D11709} - C:\ARCHIV~1\iGv6\igshop.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &iG - {7EEF1E3D-FD97-4401-BCDB-5827F2D11709} - C:\ARCHIV~1\iGv6\igshop.dll
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Archivos de programa\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Archivos de programa\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Multimedia\Ahead Nero\InCD\InCD\InCD.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [DeskCalc] "c:\archivos de programa\utilidades\deskcalc pro\deskcalc.exe" /hide
O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Comunicaciones\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\MSMSGS.EXE" /background
O4 - Startup: Rainmeter.lnk = C:\Archivos de programa\Utilidades\Rainmeter\Rainmeter.exe
O4 - Startup: StarOffice 8.lnk = C:\Archivos de programa\Sun\StarOffice 8\program\quickstart.exe
O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &NeoTrace It! - C:\ARCHIV~1\COMUNI~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra button: Barra do iG - {FD1672E0-AE0D-465B-B345-F7B0944A121D} - C:\ARCHIV~1\iGv6\igshop.dll
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\ARCHIV~1\COMUNI~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{42925CFF-D14D-429C-9EED-FDEC42C09508}: NameServer = 80.58.61.250,80.58.61.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2E3B607-5C85-45A2-BC14-D840F9084F13}: NameServer = 80.58.61.250,80.58.61.254
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Archivos de programa\Utilidades\Diskeeper Pro\DkService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Multimedia\Ahead Nero\InCD\InCD\InCDsrv.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Bueno tu Log no esta muy infectado, haber si algunos de los que tienen permiso te dicen el procedimiento para desinfectarlo, que yo "de momento" no tengo permiso

Tengo una foto del mensaje que me aparece en pantalla al iniciar sesión, pero no sé como colgarla... alguien puede decirme cómo hacerlo??

Gracias.