Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

¡Buen Día!
He estado leyendo los procedimentos que aqui se manejan para la eliminicion del spyware y los he seguido creo yo al pie de la letra pero este error es uno de los cuales no me puedo deshacer ya que al iniciar la sesion o al iniciar el IE sale una ventana que contiene lo siguiente: en la barra de titulo muestra "Antivirus Report" en el area de la ventana muestra "Is your computer infect with spyware" y muestra las opciones de 'si' o 'no', con la opcion de cerrar deshabilitada, por lo cual a continuacion pego el archivo "log" de mi equipo para ver que solucion pueden sugerir.

¡GRACIAS!

Logfile of HijackThis v1.99.1
Scan saved at 05:19:54 p.m., on 26/03/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Archivos de programa\Compaq\Easy Access Keyboard\nhksrv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\SiteClient\clisvc.exe
C:\WINNT\system32\stisvc.exe
C:\Archivos de programa\SiteClient\vrmonsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Archivos de programa\RealVNC\WinVNC.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\SiteClient\SiteCli.exe
C:\WINNT\system32\msoffice.exe
C:\Archivos de programa\Compaq\Easy Access Keyboard\MMKeybd.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\ARCHIV~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Archivos de programa\Compaq\Easy Access Keyboard\MEDIACTR.EXE
C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe
C:\Archivos de programa\Compaq\Easy Access Keyboard\MMUSBKB2.EXE
C:\Archivos de programa\SiteClient\vrmonnt.exe
C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe
C:\Archivos de programa\Archivos comunes\Adaptec Shared\CreateCD\CreateCD50.exe
C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINNT\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://e-pgj.zeus.jalisco.gob.mx/intranet
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://e-pgj.zeus.jalisco.gob.mx/intranet
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.jalisco.gob.mx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por Gobierno Jalisco
F3 - REG:win.ini: run=C:\WINNT\system32\msoffice.exe
O2 - BHO: (no name) - {B75F75B8-93F3-429D-FF34-660B206D897A} - C:\WINNT\system32\boln.dll
O4 - HKLM\..\Run: [EASY ACCESS KEYBOARD] C:\Archivos de programa\Compaq\Easy Access Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BIOVBILSY] C:\WINNT\BIOVBILSY.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\ARCHIV~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [CJPWCJMTZ] C:\WINNT\CJPWCJMTZ.exe
O4 - HKLM\..\Run: [gvof] C:\WINNT\gvof.exe
O4 - HKLM\..\Run: [vwloren] C:\WINNT\vwloren.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [cvctyr] C:\WINNT\cvctyr.exe
O4 - HKLM\..\Run: [jmabzf] C:\WINNT\system32\vpoqbfl.exe
O4 - HKLM\..\Run: [SiteClient] C:\SiteClient\SiteCli.exe
O4 - HKLM\..\Run: [InitClient] C:\SiteClient\InitCli.exe
O4 - HKLM\..\Run: [Vrmon] C:\Archivos de programa\SiteClient\vrmonnt.exe Main
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [uaB9X] C:\WINNT\ijlymwox.exe
O4 - HKLM\..\Run: [CreateCD50] "C:\Archivos de programa\Archivos comunes\Adaptec Shared\CreateCD\CreateCD50.exe" -r
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [IMAQBoot] C:\Archivos de programa\National Instruments\NI-IMAQ\bin\ImaqBoot.exe
O4 - HKLM\..\Run: [gah95on6] C:\WINNT\system32\gah95on6.exe
O4 - HKLM\..\Run: [Desktop Search] C:\WINNT\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINNT\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [Systems Restart] Rundll32.exe boln.dll, DllRegisterServer
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Disk Cleaner.lnk = C:\Archivos de programa\Disk Cleaner\dclean.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearc...p=ZNxmk142XXMX
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: ru-mx - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\ru-mx\0.html (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://e-pgj.zeus.jalisco.gob.mx/intranet
O15 - Trusted Zone: *.finefind.nettraffic2cash.biz
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.7adpower.com/dialer/messico.exe
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int4.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Advanced) - http://www.meadroid.com/scriptx/smsx.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/2765fe099b1a700...dxIE601_es.cab
O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} - http://212.145.159.194/251065/dialer...ecomendada.cab
O16 - DPF: {60EFC337-15C2-4369-B2A0-3429B071D8B8} (Hewlett-Packard Printer Diagnostics) - http://ispe.sdc.hp.com/awebui/jsp/an...WebManager.CAB
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...lInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} - http://213.254.243.5/data/dialercab/IberoDialerHTML.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-ww/mxw/games3.cab
O16 - DPF: {94118C19-B178-4E43-BBE8-0EFDBB391BDB} (SysWebTelecom Class) - http://www.mildescargas.com/SysWebTelecom2.cab
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} - http://advnt01.com/dialer/internazionale_ver4.CAB
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} (CParamWr Class) - http://toolbar.azesearch.com/install/azesearch.cab
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://download.rfwnad.com/cab/ieplugin.CAB
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
O23 - Service: BeSoftMonitorTest - Unknown owner - \\Cygnus\Especial\Test.exe (file missing)
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Archivos de programa\Compaq\Easy Access Keyboard\nhksrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: SiteClient Service for VMS (SiteClientService) - Unknown owner - C:\SiteClient\clisvc.exe
O23 - Service: VPRemote Install Bootstrap Service (VPREMOTE) - Unknown owner - C:\TEMP\Clt-Inst\vpremote.exe (file missing)
O23 - Service: ViRobot Expert Monitoring (vrmonsvc) - HAURI - C:\Archivos de programa\SiteClient\vrmonsvc.exe
O23 - Service: Virtual Network Computing (WinVNC) - Unknown owner - C:\Archivos de programa\RealVNC\WinVNC.EXE" -service (file missing)

Hola

Parece que no usas ni antivirus ni firewall, deberías solucionar eso, te recomiendo esta dupla:
Bitdefender Freee Edition v 7
Sygate Personal Firewall

Bueno, veamos ese reporte.

Recuerda seguir estos pasos para la reparación.

1. Ver los archivos ocultos de tu sistema
2. Desactivar la restauración del sistema
3. Iniciar el sistema en el modo «a prueba de fallos» o «modo seguro»

Deberás marcar estas líneas en el Hijackthis para reparar:

• R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINNT\blank.htm
• O2 - BHO: (no name) - {B75F75B8-93F3-429D-FF34-660B206D897A} - C:\WINNT\system32\boln.dll
• O4 - HKLM\..\Run: [BIOVBILSY] C:\WINNT\BIOVBILSY.exe
• O4 - HKLM\..\Run: [CJPWCJMTZ] C:\WINNT\CJPWCJMTZ.exe
• O4 - HKLM\..\Run: [gvof] C:\WINNT\gvof.exe
• O4 - HKLM\..\Run: [vwloren] C:\WINNT\vwloren.exe
• O4 - HKLM\..\Run: [cvctyr] C:\WINNT\cvctyr.exe
• O4 - HKLM\..\Run: [jmabzf] C:\WINNT\system32\vpoqbfl.exe
• O4 - HKLM\..\Run: [uaB9X] C:\WINNT\ijlymwox.exe
• O4 - HKLM\..\Run: [gah95on6] C:\WINNT\system32\gah95on6.exe
• O4 - HKLM\..\Run: [Desktop Search] C:\WINNT\isrvs\desktop.exe
• O4 - HKLM\..\Run: [ffis] C:\WINNT\isrvs\ffisearch.exe
• O4 - HKLM\..\Run: [Systems Restart] Rundll32.exe boln.dll, DllRegisterServer
• O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusear...?p=ZNxmk142XXMX
• O9 - Extra button: ru-mx - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\ru-mx\0.html (file missing)
• O15 - Trusted Zone: *.finefind.nettraffic2cash.biz
• O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.7adpower.com/dialer/messico.exe
• O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int4.exe
• O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Advanced) - http://www.meadroid.com/scriptx/smsx.cab
• O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/2765fe099b1a70...RdxIE601_es.cab
• O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} - http://212.145.159.194/251065/diale...Recomendada.cab
• O16 - DPF: {60EFC337-15C2-4369-B2A0-3429B071D8B8} (Hewlett-Packard Printer Diagnostics) - http://ispe.sdc.hp.com/awebui/jsp/a...SWebManager.CAB
• O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...llInstaller.exe
• O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} - http://213.254.243.5/data/dialercab/IberoDialerHTML.cab
• O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-ww/mxw/games3.cab
• O16 - DPF: {94118C19-B178-4E43-BBE8-0EFDBB391BDB} (SysWebTelecom Class) - http://www.mildescargas.com/SysWebTelecom2.cab
• O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} - http://advnt01.com/dialer/internazionale_ver4.CAB
• O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} (CParamWr Class) - http://toolbar.azesearch.com/install/azesearch.cab
• O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://download.rfwnad.com/cab/ieplugin.CAB
• O23 - Service: BeSoftMonitorTest - Unknown owner - \\Cygnus\Especial\Test.exe (file missing)
• O23 - Service: VPRemote Install Bootstrap Service (VPREMOTE) - Unknown owner - C:\TEMP\Clt-Inst\vpremote.exe (file missing)
• O23 - Service: Virtual Network Computing (WinVNC) - Unknown owner - C:\Archivos de programa\RealVNC\WinVNC.EXE" -service (file missing)

Si los encuentras, deberás borrar estos archivos y carpetas:

• C:\WINNT\system32\boln.dll
• C:\WINNT\BIOVBILSY.exe
• C:\WINNT\CJPWCJMTZ.exe
• C:\WINNT\gvof.exe
• C:\WINNT\vwloren.exe
• C:\WINNT\cvctyr.exe
• C:\WINNT\system32\vpoqbfl.exe
• C:\WINNT\ijlymwox.exe
• C:\WINNT\system32\gah95on6.exe
• C:\WINNT\isrvs\ (borra toda la carpeta)
• C:\TEMP\ (borra todo lo que esté aquí dentro)

Después de haber hecho esas reparaciones, no estaría de más que ejecutaras estas otras aplicaciones por si se le ha pasado algo al HijackThis:

• Ad-aware SE
• Add on VX2 Cleaner del Ad-Aware SE
• Cwshredder
• Disck Cleaner
• Spybot Search and Destroy
• RegSeeker. De este programa deberás usar principalmente la opción de «limpiar el registro»

Tras estos pasos y reparaciones, cuéntanos como evoluciona el tema.

Parece que todo o casi todo lo que tienes te ha entradao por el explorer, te recomiendo que uses otro navegador, por ejemplo Firefox.

Felicidad

¡Gracias! PatomaS, por tu respuesta tan opurtana y rapida el mensaje ya se ha eliminado y voy a seguir tu consejo de instalar un firewall en cuanto al firefox tenia unas semanas usandolo pero creo que ya lo voy a generalizar para evitar este tipo de problemas.

Gracias de nuevo :dedosarri