Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Buenas,

El otro dia (24/12/05) abrí un ejecutable maligno por error en mi pc.
Me explico, al abrirlo se empezó a ejecutar el código de lo que fuera eso y me quitó mi configuración de pantalla y no me dejava acceder a ella.
Luego al intentar acceder a internet explorer pues tampoco me dejaba, es más, la página de inicio era "services" o algo asi.
Me puse manos a la obra y consegui arreglar eso, pero me parece que no lo hice como tenia que hacerlo y tal vez me cargué alguna cosa o cambié algo de sitio, no se.

El problema que tengo ahora es que si voy a ejectuar y pongo %TEMP% me salen como 40000 temporales, y lo curioso es que tienen todos el mismo formato: Todos empiezan por '_ge' y luego una sequencia de 4 caracteres alfanumericos. Ej: _geA1B2
Luego si los borro todos, le doy a ver->actualizar y me ha generado unos quantos mas. Vuelvo a actualizar y aun hay mas! Es bucle!
Claro que si voy al modo a prueba de fallos esto no me pasa, pero al iniciar el S.O normalmente pues me va generando otra vez los temporales o ya de golpe vuelvo a tener 40000 ahi metidos.

Lo peor es que se me ralentiza un montón la maquina, y hace solo un mes que la tengo, me va el triple de lento. No se si sera por eso, tal vez.
Uso el WinXp Home Edition con todas las ultimas actualizaciones.

He provado de solucionarlo todo con:
-NOD32 (Definiciones de virus actualizadas)
Este me ha detectado:
Delf.NAL Gusano(Worm)
Java/ClassLoader.H Troyano --> C:\DOCUME~1\CONFIG~1\Temp\AAWTMP\C2210671\2E55FF\C ounter.class
Java/TrojanDownloader.OpenConnection Troyano --> C:\DOCUME~1\CONFIG~1\Temp\AAWTMP\C331796\29EB23\Ma trix.class
Java/Dummy Troyano --> C:\DOCUME~1\CONFIG~1\Temp\AAWTMP\C331796\29EB23\Du mmy.class

ME PARECE que estos ya estan fuera.

-TrojanHunter
Este me detecto 4 troyanos y creo que los eliminó.

-TuneUp Utilities 2006
He usado el TuneUp RegistryCleaner y el Diskcleaner.
Problemas que me ha encontrado solucionados.

-Ad-Aware
Este es el mas curioso, cada vez que le doy a scann me detecta algo nuevo, lo elimino y si el dia siguiente o cuando sea le doy a scann otra vez, pues me detecta mas ******, sobretodo Tracking cookies o MRU Lists (?¿?¿)
Además mientras me esta analizando el pc a veces salta el nod32 y me encuentra el "Java/ClassLoader.H Troyano --> C:\DOCUME~1\CONFIG~1\Temp\AAWTMP\C2210671\2E55FF\C ounter.class" que en teoria ya deberia estar eliminado con el TrojanHunter!

Y este es el log del ultimo scan que hice con ad-aware:


------------------------------------------------------------
Ad-Aware SE Build 1.06r1
Logfile Created on:martes, 27 de diciembre de 2005 16:55:58
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R82 19.12.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC index:0):2 total references
Tracking Cookie(TAC index:3):5 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


27-12-2005 16:55:58 - Scan started. (Full System Scan)

MRU List Object Recognized!
Location: : S-1-5-21-245763550-1657638818-1786964386-1005\software\microsoft\directinput\mostrecentappl ication
Description : most recent application to use microsoft directinput


MRU List Object Recognized!
Location: : S-1-5-21-245763550-1657638818-1786964386-1005\software\microsoft\directinput\mostrecentappl ication
Description : most recent application to use microsoft directinput


Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 584
ThreadCreationTime : 27-12-2005 14:43:46
BasePriority : Normal


#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 656
ThreadCreationTime : 27-12-2005 14:43:47
BasePriority : Normal


#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 684
ThreadCreationTime : 27-12-2005 14:43:49
BasePriority : High


#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 728
ThreadCreationTime : 27-12-2005 14:43:49
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Sistema operativo Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Aplicación de servicios y controlador
InternalName : services.exe
LegalCopyright : Copyright (C) Microsoft Corporation. Reservados todos los derechos.
OriginalFilename : services.exe

#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 740
ThreadCreationTime : 27-12-2005 14:43:49
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:6 [ati2evxx.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 900
ThreadCreationTime : 27-12-2005 14:43:50
BasePriority : Normal
FileVersion : 6.14.10.4118
ProductVersion : 6.14.10.4118.02
ProductName : ATI External Event Utility for WindowsNT and Windows9X
CompanyName : ATI Technologies Inc.
FileDescription : ATI External Event Utility EXE Module
InternalName : ATI2EVXX.EXE
LegalCopyright : Copyright © 1999-2004 ATI Technologies Inc.
OriginalFilename : ATI2EVXX.EXE

#:7 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 916
ThreadCreationTime : 27-12-2005 14:43:50
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:8 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1000
ThreadCreationTime : 27-12-2005 14:43:50
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:9 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1112
ThreadCreationTime : 27-12-2005 14:43:50
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:10 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1212
ThreadCreationTime : 27-12-2005 14:43:50
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:11 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1324
ThreadCreationTime : 27-12-2005 14:43:50
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:12 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1564
ThreadCreationTime : 27-12-2005 14:43:51
BasePriority : Normal
FileVersion : 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)
ProductVersion : 5.1.2600.2696
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe

#:13 [ctsvccda.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1672
ThreadCreationTime : 27-12-2005 14:43:52
BasePriority : Normal
FileVersion : 1.0.1.0
ProductVersion : 1.0.0.0
ProductName : Creative Service for CDROM Access
CompanyName : Creative Technology Ltd
FileDescription : Creative Service for CDROM Access
InternalName : CTsvcCDAEXE
LegalCopyright : Copyright (c) Creative Technology Ltd., 1999. All rights reserved.
OriginalFilename : CTsvcCDA.EXE

#:14 [lssrvc.exe]
FilePath : C:\Archivos de programa\Archivos comunes\LightScribe\
ProcessID : 1708
ThreadCreationTime : 27-12-2005 14:43:52
BasePriority : Normal
FileVersion : 1.4.39.1
ProductName : LightScribe
CompanyName : Hewlett-Packard Company
LegalCopyright : © Copyright 2003-2005 Hewlett-Packard Development Company, LP
OriginalFilename : LSSrvc.exe

#:15 [mdm.exe]
FilePath : C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\
ProcessID : 1728
ThreadCreationTime : 27-12-2005 14:43:52
BasePriority : Normal
FileVersion : 7.10.3077
ProductVersion : 7.10.3077
ProductName : Microsoft® Visual Studio .NET
CompanyName : Microsoft Corporation
FileDescription : Machine Debug Manager
InternalName : mdm.exe
LegalCopyright : Copyright© Microsoft Corporation. All rights reserved.
OriginalFilename : mdm.exe

#:16 [nod32krn.exe]
FilePath : C:\Archivos de programa\Eset\
ProcessID : 1760
ThreadCreationTime : 27-12-2005 14:43:52
BasePriority : Normal


#:17 [nsrexecd.exe]
FilePath : C:\win32app\nsr\bin\
ProcessID : 1820
ThreadCreationTime : 27-12-2005 14:43:52
BasePriority : Normal


#:18 [oracle80.exe]
FilePath : c:\orant\bin\
ProcessID : 1840
ThreadCreationTime : 27-12-2005 14:43:52
BasePriority : Normal
FileVersion : 8.0.5.0.0
CompanyName : Oracle Corporation
FileDescription : Oracle RDBMS Kernel Executable
LegalCopyright : Copyright © Oracle Corporation 1979,1998. All rights reserved.
OriginalFilename : ORACLE80.EXE

#:19 [tnslsnr80.exe]
FilePath : C:\orant\BIN\
ProcessID : 1852
ThreadCreationTime : 27-12-2005 14:43:52
BasePriority : Normal


#:20 [owastsvr.exe]
FilePath : C:\orant\bin\
ProcessID : 1864
ThreadCreationTime : 27-12-2005 14:43:52
BasePriority : Normal
FileVersion : 8.0.5.0.0
ProductVersion : 8.0.5.0.0
ProductName : Oracle Web Publishing Assistant Service
CompanyName : Oracle Corporation
FileDescription : Oracle Web Publishing Assistant Service
InternalName : owastsvr
LegalCopyright : Copyright © 1997, 1998
OriginalFilename : owastsvr.exe

#:21 [portmap.exe]
FilePath : C:\win32app\nsr\bin\
ProcessID : 1912
ThreadCreationTime : 27-12-2005 14:43:52
BasePriority : Normal


#:22 [wdfmgr.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 2028
ThreadCreationTime : 27-12-2005 14:43:52
BasePriority : Normal
FileVersion : 5.2.3790.1230 built by: dnsrv(bld4act)
ProductVersion : 5.2.3790.1230
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Windows User Mode Driver Manager
InternalName : WdfMgr
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : WdfMgr.exe

#:23 [wltrysvc.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 196
ThreadCreationTime : 27-12-2005 14:43:52
BasePriority : Normal


#:24 [ati2evxx.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1520
ThreadCreationTime : 27-12-2005 14:44:01
BasePriority : Normal
FileVersion : 6.14.10.4118
ProductVersion : 6.14.10.4118.02
ProductName : ATI External Event Utility for WindowsNT and Windows9X
CompanyName : ATI Technologies Inc.
FileDescription : ATI External Event Utility EXE Module
InternalName : ATI2EVXX.EXE
LegalCopyright : Copyright © 1999-2004 ATI Technologies Inc.
OriginalFilename : ATI2EVXX.EXE

#:25 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 152
ThreadCreationTime : 27-12-2005 14:44:01
BasePriority : Normal
FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 6.00.2900.2180
ProductName : Sistema operativo Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Explorador de Windows
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Reservados todos los derechos.
OriginalFilename : EXPLORER.EXE

#:26 [atiptaxx.exe]
FilePath : C:\Archivos de programa\ATI Technologies\ATI Control Panel\
ProcessID : 888
ThreadCreationTime : 27-12-2005 14:44:02
BasePriority : Normal
FileVersion : 6.14.10.5160
ProductVersion : 6.14.10.5160
ProductName : ATI Desktop Component
CompanyName : ATI Technologies, Inc.
FileDescription : ATI Desktop Control Panel
InternalName : Atiptaxx.exe
LegalCopyright : Copyright (C) 1998-2005 ATI Technologies Inc.
OriginalFilename : Atiptaxx.exe

#:27 [nod32kui.exe]
FilePath : C:\Archivos de programa\Eset\
ProcessID : 472
ThreadCreationTime : 27-12-2005 14:44:02
BasePriority : Normal


#:28 [ctfmon.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1068
ThreadCreationTime : 27-12-2005 14:44:02
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : CTFMON.EXE

#:29 [ctdetect.exe]
FilePath : C:\Archivos de programa\Creative\MediaSource\Detector\
ProcessID : 1076
ThreadCreationTime : 27-12-2005 14:44:03
BasePriority : Normal
FileVersion : 2.3.1.0
ProductVersion : 2.3.0.0
ProductName : Creative MediaSource Detector
CompanyName : Creative Technology Ltd
FileDescription : Creative MediaSource Detector
InternalName : CTDetect
LegalCopyright : Copyright (c) Creative Technology Ltd., 2003-2004. All rights reserved.
OriginalFilename : CTDetect.EXE

#:30 [msnmsgr.exe]
FilePath : C:\Archivos de programa\MSN Messenger\
ProcessID : 1088
ThreadCreationTime : 27-12-2005 14:44:03
BasePriority : Normal
FileVersion : 7.5.0311
ProductVersion : 7.5.0311
ProductName : MSN Messenger
CompanyName : Microsoft Corporation
FileDescription : MSN Messenger
InternalName : msnmsgr
LegalCopyright : Copyright (c) Microsoft Corporation 1997-2004
LegalTrademarks : Microsoft(R) is a registered trademark of Microsoft Corporation in the U.S. and/or other countries.
OriginalFilename : msnmsgr.exe

#:31 [alg.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 2392
ThreadCreationTime : 27-12-2005 14:44:11
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Application Layer Gateway Service
InternalName : ALG.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : ALG.exe

#:32 [bcmwltry.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 2912
ThreadCreationTime : 27-12-2005 14:44:15
BasePriority : Normal
FileVersion : 3.50.21.10
ProductVersion : 3.50.21.10
ProductName : BCM 802.11g Network Adapter Wireless Network Tray Applet
CompanyName : Broadcom Corporation
FileDescription : BCM 802.11g Network Adapter Wireless Network Tray Applet
InternalName : bcmwltry.exe
LegalCopyright : 1998-2003, Broadcom Corporation All Rights Reserved.
OriginalFilename : bcmwltry.exe

#:33 [iexplore.exe]
FilePath : C:\Archivos de programa\Internet Explorer\
ProcessID : 3104
ThreadCreationTime : 27-12-2005 14:59:21
BasePriority : Normal
FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 6.00.2900.2180
ProductName : Sistema operativo Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Internet Explorer
InternalName : iexplore
LegalCopyright : © Microsoft Corporation. Reservados todos los derechos.
OriginalFilename : IEXPLORE.EXE

#:34 [ad-aware.exe]
FilePath : C:\Archivos de programa\Lavasoft\Ad-Aware SE Personal\
ProcessID : 3288
ThreadCreationTime : 27-12-2005 15:54:10
BasePriority : Normal
FileVersion : 6.2.0.236
ProductVersion : SE 106
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft AB Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 2


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 2


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 2


Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking Cookie Object Recognized!
Type : IECache Entry
Data : usuario@counter9.sextracker[1].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:1
Value : Cookie:usuario@counter9.sextracker.com/
Expires : 27-12-2005 20:21:38
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : usuario@statcounter[2].txt
TAC Rating : 3
Category : Data Miner
Comment :
Value : C:\Documents and Settings\USUARIO\Cookies\usuario@statcounter[2].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : usuario@advertising[1].txt
TAC Rating : 3
Category : Data Miner
Comment :
Value : C:\Documents and Settings\USUARIO\Cookies\usuario@advertising[1].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : usuario@sextracker[1].txt
TAC Rating : 3
Category : Data Miner
Comment :
Value : C:\Documents and Settings\USUARIO\Cookies\usuario@sextracker[1].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : usuario@atdmt[2].txt
TAC Rating : 3
Category : Data Miner
Comment :
Value : C:\Documents and Settings\USUARIO\Cookies\usuario@atdmt[2].txt

Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 5
Objects found so far: 7



Deep scanning and examining files (C:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 7


Scanning Hosts file......
Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 entries scanned.
New critical objects:0
Objects found so far: 7




Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 7

17:05:58 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:0000.141
Objects scanned:254886
Objects identified:5
Objects ignored:0
New critical objects:5

-------------------------------------------------

Pues eso, que le he hecho 12 escaneos y he tenido que eliminiar como 350 cosas, pero es que como me lo vuelve a generar...pff.
También lo he provado Desactivando la opcion Restaurar sistema.

Un apunte más:
Ahora mismo no me va tan mal pero a veces es pa morirse, tratandose de un ordenador de los ultimos tendria que ir todo como la seda, ademas al iniciar windows a veces me salen mensajes de error.

Y finalmente os dejo el log hecho con el HijackThis:

--------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 17:31:23, on 27/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\win32app\nsr\bin\nsrexecd.exe
c:\orant\bin\oracle80.exe
C:\orant\BIN\TNSLSNR80.EXE
C:\orant\bin\OWASTsvr.exe
C:\win32app\nsr\bin\portmap.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Creative\MediaSource\Detector\CTDetect.ex e
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F3 - REG:win.ini: run=C:\WINDOWS\inet20003\services.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FLASHGET\jccatch.dll
O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.2607.0\es\msntb.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [THGuard] "C:\Archivos de programa\TrojanHunter 4.2\THGuard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Archivos de programa\Creative\MediaSource\Detector\CTDetect.ex e /R
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Download All by FlashGet - C:\ARCHIV~1\FLASHGET\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\ARCHIV~1\FLASHGET\jc_link.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.beep.es
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NetWorker Backup and Recover Server (nsrd) - Unknown owner - C:\win32app\nsr\bin\nsrd (file missing)
O23 - Service: NetWorker Remote Exec Service (nsrexecd) - Unknown owner - C:\win32app\nsr\bin\nsrexecd (file missing)
O23 - Service: OracleAgent80 - oracle - C:\orant\agentbin\DBSNMP.EXE
O23 - Service: OracleClientCache80 - Unknown owner - C:\orant\BIN\ONRSD80.EXE
O23 - Service: OracleConTextService80 - Oracle Corporation - C:\orant\BIN\CTXSVC80.EXE
O23 - Service: OracleDataGatherer - Unknown owner - C:\orant\bin\vppdc.exe
O23 - Service: OracleExtprocAgent - Unknown owner - C:\orant\BIN\EXTPROCT.EXE
O23 - Service: OracleNamesService80 - Unknown owner - C:\orant\BIN\NAMES80.EXE
O23 - Service: OracleServiceORCL - Oracle Corporation - c:\orant\bin\oracle80.exe
O23 - Service: OracleStartORCL - Unknown owner - C:\orant\BIN\strtdb80.exe
O23 - Service: OracleTNSListener80 - Unknown owner - C:\orant\BIN\TNSLSNR80.EXE
O23 - Service: OracleWebAssistant - Oracle Corporation - C:\orant\bin\OWASTsvr.exe
O23 - Service: Storage Management Portmapper (portmap) - Unknown owner - C:\win32app\nsr\bin\portmap (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

-----------------------------------------------
Bueno, no me enrollo más, a ver si me lo podeis solucionar por favor , que estoy seguro que hay "algo" por ahi.

GRACIAS POR ADELANTADO

Las cookies se crean siempre que navegas en la internet, es algo normal, para poder limpiar tu sistema de cookies y temporales de internet puedes usar el Disk Cleaner.

Las MRU son los objetos mas usados, se crean cada que usas un programa, también es algo normal.

Veamos ese log, sigue estos pasos:

1.- Descarga la herramienta DelPSGuard.zip y descomprímela en el escritorio de Windows pero no la ejecutes aun.

2.- Apaga el "Restaurar Sistema"

3.- Activa la opción Ver Archivos Ocultos

4.- Reinicia en Modo a Prueba de Fallos

5.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

F3 - REG:win.ini: run=C:\WINDOWS\inet20003\services.exe

6.- Sin reiniciar, busca y elimina esta carpeta y todo su contenido:

C:\WINDOWS\inet20003\

7.- Ejecuta el archivo DelPSGuard.exe y sigue las instrucciones del programa.

8.- Pasa el Disk Cleaner para limpiar cookies y temporales

9.- Pasa el Regseeker para Limpiar el Registro, pásalo hasta q no quede nada para eliminar.

10.- Pasa el Ad-Aware SE actualizado e instala SpywareBlaster

11.- Reinicia la maquina y realiza un escaneo con Ewido Online, luego pega otro log de Hijackthis y nos cuentas como te fue.

De preferencia imprime las indicaciones para que se te haga mas facil seguirlas.

Saludos

Hola de nuevo,
He hecho todo lo que me indicasteis, paso a paso. Cuando llegué al punto dónde me recomendaste escanear el sistema con el Ewido me encontró lo siguiente:

Name: Trojan.Agent.bu
Path:C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.exe
Risk: High

Nombre: Logger.Small.dg
Path: C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00002.dll
Risk: High

De momento estos dos ya estan fuera.

//////////////////////////////////////////////////////////
Aquí un par de apuntes más, los pongo por si acaso:

-Al ejecutar el DelPSGuard.exe, llega a un punto donde me pone:
No se ha podido hallar o no se encuentra: svhost.exe
No se ha podido hallar o no se encuentra: kernels32.exe
No se ha podido hallar o no se encuentra: intell32.exe
No se ha podido hallar o no se encuentra: symcsvc.exe
No se ha podido hallar o no se encuentra: C:\WINDOWS\system\svhost.exe
No se ha podido hallar o no se encuentra: C:\WINDOWS\system\kernels32.exe
No se ha podido hallar o no se encuentra: C:\WINDOWS\system\intell32.exe
No se ha podido hallar o no se encuentra: C:\WINDOWS\system\symcsvc.exe

-El RegSeeker nunca consigue limpiarlo todo, sólo me deja esto dentro del HKEY_LOCAL_MACHINE --> SOFTWARE\Winhound.com\Winhound.
Lo borro, vuelvo a escanear y me lo vuelve a encontrar.

Pone que en C:\Archivos de Programa\Winhound el archivo o el path no existen.

Bueno este no me preocupa aunque conozco que el winhound es un anti-spyware falso. Pero me parece que ya no hay rastro de él en mi maquina porque ya lo borré, lo que no me explico es porque aún sale en el registro y no se puede eliminar.
/////////////////////////////////////////////////////////////

Luego fui otra vez a inicio->ejecutar->%temp% y alli estaban otra vez los temporales _ge****, generandose a una velocidad endiablada , los borré, reinicié y otra vez con el "bucle".
Estoy cada vez mas convencido que la maquina va lenta por culpa de los malditos temporales, ahora mismo los acabo de borrar todos (de todas formas se estan generando otra vez) y el ordenador funciona bien.
El problema es que dentro de un rato empezará a ir peor y cada vez peor., me he dado cuenta ademas que al iniciar sesión de windows, se demorava mucho mas de lo normal.

Finalmente mi log despues de hacer todo el proceso indicado arriba:

Logfile of HijackThis v1.99.1
Scan saved at 2:07:23, on 28/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FLASHGET\jccatch.dll
O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.2607.0\es\msntb.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [THGuard] "C:\Archivos de programa\TrojanHunter 4.2\THGuard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Archivos de programa\Creative\MediaSource\Detector\CTDetect.ex e /R
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Download All by FlashGet - C:\ARCHIV~1\FLASHGET\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\ARCHIV~1\FLASHGET\jc_link.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.beep.es
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NetWorker Backup and Recover Server (nsrd) - Unknown owner - C:\win32app\nsr\bin\nsrd (file missing)
O23 - Service: NetWorker Remote Exec Service (nsrexecd) - Unknown owner - C:\win32app\nsr\bin\nsrexecd (file missing)
O23 - Service: OracleAgent80 - oracle - C:\orant\agentbin\DBSNMP.EXE
O23 - Service: OracleClientCache80 - Unknown owner - C:\orant\BIN\ONRSD80.EXE
O23 - Service: OracleConTextService80 - Oracle Corporation - C:\orant\BIN\CTXSVC80.EXE
O23 - Service: OracleDataGatherer - Unknown owner - C:\orant\bin\vppdc.exe
O23 - Service: OracleExtprocAgent - Unknown owner - C:\orant\BIN\EXTPROCT.EXE
O23 - Service: OracleNamesService80 - Unknown owner - C:\orant\BIN\NAMES80.EXE
O23 - Service: OracleServiceORCL - Oracle Corporation - c:\orant\bin\oracle80.exe
O23 - Service: OracleStartORCL - Unknown owner - C:\orant\BIN\strtdb80.exe
O23 - Service: OracleTNSListener80 - Unknown owner - C:\orant\BIN\TNSLSNR80.EXE
O23 - Service: OracleWebAssistant - Oracle Corporation - C:\orant\bin\OWASTsvr.exe
O23 - Service: Storage Management Portmapper (portmap) - Unknown owner - C:\win32app\nsr\bin\portmap (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

El log de Hijackthis está limpio, pasa al menos 2 Antivirus Online de preferencia Ewido y Kaspersky y de ser necesario pega el reporte para su análisis.

Saludos

Saludos otra vez,
Volví a pasar los antivirus online, tanto el kaspersky como el ewido, y no me encontraron nada, pero mi maquina NO ES LO QUE ERA.
Muchos procesos se siguen demorando en exceso como por ejemplo el abrir o cerrar una sesión de windows.
Los archivos temporales _ge*** se siguen generando, no puedo estar pasando el disk cleaner cada minuto!
Hice otro log con el HijackThis, pero me parece que sigue igual de limpio:

Logfile of HijackThis v1.99.1
Scan saved at 3:56:55, on 29/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\win32app\nsr\bin\nsrexecd.exe
c:\orant\bin\oracle80.exe
C:\orant\BIN\TNSLSNR80.EXE
C:\orant\bin\OWASTsvr.exe
C:\win32app\nsr\bin\portmap.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Creative\MediaSource\Detector\CTDetect.ex e
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FLASHGET\jccatch.dll
O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.2607.0\es\msntb.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Archivos de programa\Creative\MediaSource\Detector\CTDetect.ex e /R
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Download All by FlashGet - C:\ARCHIV~1\FLASHGET\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\ARCHIV~1\FLASHGET\jc_link.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.beep.es
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/k...an_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NetWorker Backup and Recover Server (nsrd) - Unknown owner - C:\win32app\nsr\bin\nsrd (file missing)
O23 - Service: NetWorker Remote Exec Service (nsrexecd) - Unknown owner - C:\win32app\nsr\bin\nsrexecd (file missing)
O23 - Service: OracleAgent80 - oracle - C:\orant\agentbin\DBSNMP.EXE
O23 - Service: OracleClientCache80 - Unknown owner - C:\orant\BIN\ONRSD80.EXE
O23 - Service: OracleConTextService80 - Oracle Corporation - C:\orant\BIN\CTXSVC80.EXE
O23 - Service: OracleDataGatherer - Unknown owner - C:\orant\bin\vppdc.exe
O23 - Service: OracleExtprocAgent - Unknown owner - C:\orant\BIN\EXTPROCT.EXE
O23 - Service: OracleNamesService80 - Unknown owner - C:\orant\BIN\NAMES80.EXE
O23 - Service: OracleServiceORCL - Oracle Corporation - c:\orant\bin\oracle80.exe
O23 - Service: OracleStartORCL - Unknown owner - C:\orant\BIN\strtdb80.exe
O23 - Service: OracleTNSListener80 - Unknown owner - C:\orant\BIN\TNSLSNR80.EXE
O23 - Service: OracleWebAssistant - Oracle Corporation - C:\orant\bin\OWASTsvr.exe
O23 - Service: Storage Management Portmapper (portmap) - Unknown owner - C:\win32app\nsr\bin\portmap (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE


EDITO: Me ha aparecido el siguiente error pero sin que yo hiciera nada: (?¿?¿?)

-----------------------------------------------------------------------------------------
iexplore.exe - Error de aplicación
La instrucción "0x08f92701" hace referencia a la memoria en "0x00000014". La memoria no se puede "read"

Aceptar para finalizar
Cancelar para Depurar
-----------------------------------------------------------------------------------------

Que significa todo esto??

Si que es raro el caso, vamos a utilizar otra herramienta para ver si detecta algo ahora, descárgate la herramienta Mwav.exe y déjanos un log de esta herramienta. Esta herramienta genera un log muy largo por lo que solo copia las entradas reconocidas como infectadas.

Saludos

Saludos,
Ya me he descargado la herramienta mwav.exe y he hecho un escaneo completo del sistema, archivo por archivo y este ha sido el resultado:

ARCHIVOS EXAMINADOS
Thu Dec 29 20:07:31 2005 => ***** Examen Completo. *****
Thu Dec 29 20:07:31 2005 => Archivos Examinados:: 178513
Thu Dec 29 20:07:31 2005 => Virus Encontrados:: 10
Thu Dec 29 20:07:31 2005 => Archivos Desinfectados:: 0
Thu Dec 29 20:07:31 2005 => Archivos Renombrados:: 0
Thu Dec 29 20:07:31 2005 => Archivos Eliminados:: 0
Thu Dec 29 20:07:31 2005 => Errores:: 5
Thu Dec 29 20:07:31 2005 => Tiempo Transcurrido:: 02:06:03
Thu Dec 29 20:07:31 2005 => Fecha de Base de Datos de Virus: 12/26/2005
Thu Dec 29 20:07:31 2005 => Conteo de Base de Datos de Virus: 167489

Thu Dec 29 20:07:31 2005 => Examen Completo.

REGISTRO DE INFORMACIÓN DE VIRUS
Object "searchexe Spyware/Adware" found in File System! Action Taken: No Action Taken.

Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.

Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.

Object "winpup32 Spyware/Adware" found in File System! Action Taken: No Action Taken.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\FileExts" refers to invalid object ".ax". Action Taken: No Action Taken.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\FileExts" refers to invalid object "OpenWithList". Action Taken: No Action Taken.

Archivo C:\WINDOWS\system32\oleext.dll infectado por "Trojan.Win32.Small.ev" Virus. Acción Tomada: No Action Taken.

Archivo C:\WINDOWS\system32\oleext.dll infectado por "Trojan.Win32.Small.ev" Virus. Acción Tomada: No Action Taken.

Archivo C:\Documents and Settings\USUARIO\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \loaderadv661.jar-8c8cb87-6d6eee08.zip infectado por "Trojan-Downloader.Java.OpenStream.c" Virus. Acción Tomada: No Action Taken.

Archivo C:\Documents and Settings\USUARIO\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \java.jar-bdf1f78-603eeaa3.zip infectado por "Trojan-Downloader.Java.OpenConnection.aj" Virus. Acción Tomada: No Action Taken.

Archivo C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.dll infectado por "Trojan-Spy.Win32.Small.dg" Virus. Acción Tomada: No Action Taken.

Archivo C:\Archivos de programa\ESET\infected\SH1OVHBA.NQF infectado por "Email-Worm.Win32.Delf.i" Virus. Acción Tomada: No Action Taken.

--------------------------------------------------------------------------
PD: El log era, como me habias dicho, grandioso. Supongo que las entradas infectadas seran estas que me salian en examinar, dónde ponia REGISTRO DE INFORMACIÓN DE VIRUS. Al menos estas eran las mismas que salian en el log.

EDITO: Mmmm el escaneo no lo hice desde el modo a prueba de fallos...no se tendria que haberlo hecho asi??

Está bien que lo hayas hecho en Modo Normal ya que esta herramienta solo nos da un informe, no limpia.

- Si tienes el Bearshare (la versión gratuita) instalado, desinstálalo ya que agrega malwares.

1.- Descarga las herramientas CWShredder, DelPSGuard.zip (versión actualizada) y Spybot Search & Destroy y descomprímelas en el escritorio de Windows pero no las ejecutes aun.

2.- Apaga el "Restaurar Sistema"

3.- Activa la opción Ver Archivos Ocultos

4.- Reinicia en Modo a Prueba de Fallos

5.- Busca y elimina estos archivos, si no se dejan eliminar descarga el programa "Killbox" y sigue las indicaciones del mensaje, copia y pega los archivos para que los elimine al reiniciar.

C:\WINDOWS\system32\oleext.dll

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.dll

6.- Debes vaciar la cuarentena del NOD32.

7.- Para limpìar la caché de Java debes seguir estos pasos.

8.- Ejecuta las herramientas CWShredder, DelPSGuard y Spybot Search & Destroy una por una y en ese orden.

9.- Pasa el Disk Cleaner para limpiar cookies y temporales

10.- Pasa el Regseeker para Limpiar el Registro, pásalo hasta q no quede nada para eliminar.

11.- Reinicia la máquina y nos cuentas los resultados.

Saludos

Hola de nuevo, hice todo lo que me comentaste, es decir, eliminé los archivos infectados con el killbox, vacié la quarentena y limpié la caché de java.
Luego con los programas; el CWShredder no me detectó nada, pasé el DelPSGuard y luego el Spybot, que por cierto me encontró esto:

Windows Security Center.AntiVirusOverride: Configuración (Cambio en el registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride!=dword:0
*Lo solucionó

Pasé DiskCleaner y Regseeker y finalmente hice otro chequeo completo del sistema con la herramienta mwav.exe con los siguientes resultados:

Fri Dec 30 23:17:39 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Fri Dec 30 23:17:39 2005 => Loading Spyware Signatures from new External Database (Size: 146525).
Fri Dec 30 23:17:40 2005 => Indexed Spyware Databases Successfully Created...

Fri Dec 30 23:18:06 2005 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: Ninguna Accion fue realizada.

Fri Dec 30 23:18:07 2005 => Offending Key found: HKLM\Software\gnu !!!
Fri Dec 30 23:18:07 2005 => Object "bearshare Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.

Fri Dec 30 23:18:07 2005 => Offending Key found: HKCU\Software\gnu !!!
Fri Dec 30 23:18:07 2005 => Object "bearshare Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.

Fri Dec 30 23:18:07 2005 => Offending Folder found: C:\win32app
Fri Dec 30 23:18:07 2005 => Object "winpup32 Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.

Estos son los unicos problemas que me encontró.
Ahora por lo menos ya no me salen los virus de antes ni tampoco el problema con la caché de java...es decir, de los 10 problemas anteriores he pasado a 4.

Lo que no me explico es porqué me detecta el bearshare quando yo nunca lo instalé en mi máquina! También esta la carpeta win32app, donde creo que puede haber algo...y también esto del searchexe.

Y finalmente al reiniciar la máquina en modo normal, windows se volvió a demorar mucho más de lo normal (antes era casi instantaneo, ahora es casi medio minuto) y algunos procesos se retardan también, por no decir que los malditos temporales _ge*** se siguen generando en %temp%.

Además hice la siguiente prueba:
1ero, abrí la carpeta mis documentos sin pasar el diskcleaner --> se demoró 4/5 segundos
2ndo, abrí la misma carpeta justo despues pero antes eliminando 35000 temporales con el diskCleaner --> se abrió al instante.

Me parece que esta claro.

Bien, a ver si al fin lo solucionamos, me parece que ya estamos mas cerca.

PD: Tal vez no conteste a este post durante unos dias, puesto que estare fuera hasta el 9 de enero, asi que para entonces ya me volveré a poner en ello.
PDD:Felices fiestas!

Debemos de tener cuidado con el reporte del MWAV, cuando apunta a un archivo en específico es casi seguro que se trate de una infección pero cuando carece de archivo puede tratarse de un falso positivo.

Por ejemplo, esta entrada pertenece al Office:

{807553e5-5146-11d5-a672-00b0d022e945}

Y el MWAV lo está detectando como searchexe Spyware/Adware, lo mismo debe estar pasando con las demás detecciones.

Lo que si es sospechosa es esta carpeta:

C:\win32app

- Que justamente está relacionada con el Winpup32 Spyware/Adware que detecta el MWAV.

- Además creo que aún tienes rastros de PSGuard en tu sistema.

Vamos a usar una nueva herramienta llamada Smitrem para eliminar todo rastro de PSGuard, sigue estos pasos:

1.- Crea una carpeta con el nombre de Smitrem en C:\Smitrem para instalar ahí el programa.

2.- Descarga el Smitrem.exe e instálalo en la carpeta Smitrem, esta te va a mostrar 5 archivos pero no lo ejecutes aún.

3.- Apaga el "Restaurar Sistema"

4.- Activa la opción Ver Archivos Ocultos

5.- Reinicia en Modo a Prueba de Fallos

6.- Entra en la carpeta Smitrem y ejecuta el archivo RunThis.bat y sigue las instrucciones del programa.

7.- Busca y elimina estos archivos, si los encuentras, si no se dejan eliminar descarga el programa "Killbox" y sigue las indicaciones del mensaje, copia y pega los archivos para que los elimine al reiniciar.

C:\win32app

C:\Windows\System32\Winpup32.exe

8.- Pasa el Disk Cleaner para limpiar cookies y temporales

9.- Pasa el Regseeker para Limpiar el Registro, pásalo hasta q no quede nada para eliminar.

10.- Reinicia la maquina e instalate un firewall ya que el que tiene el Windows XP SP2 es muy básico, desactívalo e instala uno mas completo como el Sygate Personal Firewall para evitar futuros ataques. Luego nos cuentas como te fue.

De preferencia imprime las indicaciones para que se te haga mas facil seguirlas.

Saludos