Hola, aquí va la repetición de mi post de ayer, que como me explicó El Piedra, parece que se perdió durante un mantenimiento. No recuerdo exacto los nombres de virus y archivos que no conseguía borrar. Pero el caso es que se me infectó el PC y que lo pude limpiar con AVG antivirus y Spybot. De todas formas seguía teniendo un archivo que creo que se llamaba service32.html en el C:/ que me cambiaba la página de inicio del explorer, además de otro que me ponía un mensaje de alerta de Spyware en el fondo del escritorio. Siguiendo las recomendaciones dadas a otros posts, eliminé entradas del registro en el Hijack This, además de usar el Reg Seeker, Disc Clean y AdAware SE.

Después de todo eso, el PC aparentaba estar limpio y sin problemas, pero el Explorer se me enlentece. Después de que aparentemente termina de cargar una página demora unos cuantos segundos en permitirme usar la barra de scroll o acceder a algún link. Además, viendo el rendimiento en el administrador de tareas, me marca que estoy usando el 100%.

En fin, espero que me puedan ayudar a solucionar este tema. Aquí va mi log y mi agradecimiento por lo que puedan hacer:

Logfile of HijackThis v1.99.1
Scan saved at 02:54:09 a.m., on 29/12/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Mantenimiento, diagnostico y limpieza\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://10.1.1.5/observadorsql/administrador_general.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 10.1.1.254:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 10.1;192.168;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\system32\LVComS.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Shell] "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Archivos de programa\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Archivos de programa\Yahoo!\Messenger\yhexbmes0521.dll
O16 - DPF: ChatSpace Java Client 4.0.0.320 - http://63.99.211.87/ChatSpace/Java/cms40320.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potd_x.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by12fd.bay12.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040427/qtinstall.info.apple.com/saba/us/win/QuickTimeInstaller.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ELOBSERVADOR
O17 - HKLM\System\CCS\Services\Tcpip\..\{3BFF03D3-6014-444C-819C-407F43C6411D}: NameServer = 200.40.30.245,200.108.194.4
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ELOBSERVADOR
O17 - HKLM\System\CS1\Services\Tcpip\..\{3BFF03D3-6014-444C-819C-407F43C6411D}: NameServer = 200.40.30.245,200.108.194.4
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ELOBSERVADOR
O17 - HKLM\System\CS2\Services\Tcpip\..\{3BFF03D3-6014-444C-819C-407F43C6411D}: NameServer = 200.40.30.245,200.108.194.4
O20 - Winlogon Notify: ssldr - ssldr32.dll (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

Hola jovenolo,

PS//Es importante que te bajes la ultima versión disponible de DelPSGuard que hasta el momento es la 2.0.5

Paso 1- Descarga estas herramientas pero no las ejecutes aun:

• DelPSGuard
• Ewido Security Suite 3.5

Paso 2- Reinicia eh inicia en "Modo a prueba de fallos" (modo seguro)

Paso 3- Con todos los programas cerrados ejecuta HijackThis y dale a estas entradas:

O4 - HKCU\..\Run: [Shell] "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.exe"

O20 - Winlogon Notify: ssldr - ssldr32.dll (file missing)


Paso 4- Ejecuta las herramientas de a una:

• DelPSGuard.exe
• Ewido Security Suite 3.5

Paso 5- Reinicia y hacele un escaneo online con "Panda ActiveScan Online"

Paso 6- Usa el Disk Cleaner para limpiar cookies y temporales y RegSeeker para limpiar el registro de Win.

Reinicia y nos contas los resultados.

Salu2

Creo que ahora quedó todo bien, pero por las dudas igual voy a postear un último log porque tengo algunas dudas. Lo que hice fue lo siguiente:

Bajé el DelPSGuard, pero el Ewido no pude bajarlo porque el link me lleva a una página que dice Sitio Web Suspendido.

Arranqué el PC en modo seguro, borré las entradas mencionadas en el paso 3 y ejecuté el DelPSGuard.

Como no tenía el Ewido, reinicié y ejecuté el Panda Online. El link también me llevaba a la misma página de Sitio Suspendido, pero busqué la página de Panda y el resultado del análisis fue este:

Incident Status Location

Adware:adware/azesearch Not desinfected C:\WINDOWS\SYSTEM32\azebar.xml

Adware:adware/cws.searchmeup Not desinfected C:\WINDOWS\kl.exe Adware:adware/secure32 Not desinfected C:\WINDOWS\secure32.html Adware:adware/btgrab Not desinfected Windows Registry Virus:Trj/Torpig.Y Disinfected C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.dll

Virus:Trj/Torpig.Y Disinfected C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00002.dll

Virus:Trj/Downloader.GQA Disinfected C:\WINDOWS\kl.exe Virus:W32/Netsky.D.worm Disinfected Local Folders\Jos (Adinet)\Re: Word file[document_word.pif]

Borré los archivos azebar.xml y secure32.html, busqué el Ewido y lo bajé, y volví a empezar todos los pasos de nuevo, menos correr el Panda Online, porque no tenía tiempo de hacerlo ahora.

Al correr el Ewido me aparecieron varias cookies y uno de los spywares detectados por el Panda, pero los otros no. Por eso es que prefiero volver a mandarles mi log y que me digan, si no es mucha molestia, si le encuentran algo raro. Si me confirman que no ven nada preocupante, por mi parte ya podemos dar por terminado este asunto, porque como les decía al principio, aparentemente está funcionando todo bien. Muchísimas gracias. Saludos

Logfile of HijackThis v1.99.1
Scan saved at 07:36:09 a.m., on 29/12/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\Mantenimiento, diagnostico y limpieza\ewido anti-malware\ewidoctrl.exe
C:\Mantenimiento, diagnostico y limpieza\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\system32\regsvc.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\system32\stisvc.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\system32\mspmspsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LVComS.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\internat.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\Skype\Phone\Skype.exe
C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe
C:\Archivos de programa\Outlook Express\msimn.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Mantenimiento, diagnostico y limpieza\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://10.1.1.5/observadorsql/administrador_general.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 10.1.1.254:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 10.1;192.168;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\system32\LVComS.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Archivos de programa\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Archivos de programa\Yahoo!\Messenger\yhexbmes0521.dll
O16 - DPF: ChatSpace Java Client 4.0.0.320 - http://63.99.211.87/ChatSpace/Java/cms40320.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potd_x.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by12fd.bay12.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040427/qtinstall.info.apple.com/saba/us/win/QuickTimeInstaller.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ELOBSERVADOR
O17 - HKLM\System\CCS\Services\Tcpip\..\{3BFF03D3-6014-444C-819C-407F43C6411D}: NameServer = 200.40.30.245,200.108.194.4
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ELOBSERVADOR
O17 - HKLM\System\CS1\Services\Tcpip\..\{3BFF03D3-6014-444C-819C-407F43C6411D}: NameServer = 200.40.30.245,200.108.194.4
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ELOBSERVADOR
O17 - HKLM\System\CS2\Services\Tcpip\..\{3BFF03D3-6014-444C-819C-407F43C6411D}: NameServer = 200.40.30.245,200.108.194.4
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Mantenimiento, diagnostico y limpieza\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Mantenimiento, diagnostico y limpieza\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

Hola, bueno el log en estos momentos esta limpio y si no hay problema ya podríamos dar el tema por solucionado.

De todas maneras te recomiendo hacer un nuevo escaneo con Panda ActiveScan online ya que puede que haya alguna cosa que este no pudo borrar y lo tengas que hacer manualmente.

Salu2

OK, muchas gracias por todo y damos por solucionado. Por supuesto seguiré tu recomendación y volveré a pasarle el Panda.

Gracias de nuevo y saludos.

Jovenolo