Buenos dias a todos.

Resulta que en la empresa de mi padre, uno de los ordenadores pilló spyaxe, que pude eliminar leyendo algunos post publicados aqui. La cosa es que mientras hacia esto, ewido me ha estado detectando una serie de spywares y adwares que no sabia que tenia. He resuelto eliminarlos muchos de ellos, pero diskperff.dll sigue apareciendome a traves de ewido.

Tambien pasé activescan, y me sacaba unos pocos spywares mas (5 para ser exacto) pero no me los eliminaba. De hecho, uno de ellos es Spyaxe :-/ al que yo tan felizmente creia haber eliminado. La cosa es que no he vuelto a tener actividad suya. El reporte es el siguiente:


Incident Status Location

Adware:Adware/SearchNo Not desinfected C:\WINDOWS\prflbmsgp32.dll
Adware:adware/deepdive Not desinfected C:\WINDOWS\SYSTEM32\diskperff.dll
Adware:adware/spyaxe Not desinfected C:\WINDOWS\SYSTEM32\hp1C0E.tmp
Adware:adware/miamore Not desinfected C:\WINDOWS\SYSTEM32\st3.dll
Adware:adware/alexa-toolbar Not desinfected Windows Registry
Adware:Adware/SearchNo Not desinfected C:\Documents and Settings\Usuario\prflbmsgp32.exe
Spyware:Spyware/ClientMan Not desinfected C:\WINDOWS\dkcpsapi.dll


Otra cosa, me aparece un pequeño escudo en la barra de tareas. La cosa es que no se si es de windows o no. Lastima que no pueda adjuntar el pantallazo.

Y por ultimo, por si las moscas, el log de hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 13:38:35, on 02/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\McAfee\Managed VirusScan\Agent\myagttry.exe
C:\Archivos de programa\McAfee\Managed Firewall\MpfTray.exe
C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE
C:\Archivos de programa\Skype\Phone\Skype.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\Archivos de programa\McAfee\Managed Firewall\MpfService.exe
C:\Archivos de programa\McAfee\Managed VirusScan\Agent\myAgtSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\Notepad.exe
C:\Documents and Settings\Usuario\Escritorio\anti spyware\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: C:\WINDOWS\system32\diskperff.dll - {A82BE883-EE51-4FAB-85B4-9432C6056673} - C:\WINDOWS\system32\diskperff.dll
O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp38DD.tmp
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O4 - HKLM\..\Run: [EPSON Stylus C46 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T 1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB001" /M "Stylus C46"
O4 - HKLM\..\Run: [EPSON Stylus C46 Series (Copiar 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T 1.EXE /P34 "EPSON Stylus C46 Series (Copiar 1)" /O5 "LPT1:" /M "Stylus C46"
O4 - HKLM\..\Run: [McAfee Managed Services Tray] "C:\Archivos de programa\McAfee\Managed VirusScan\Agent\myagttry.exe"
O4 - HKLM\..\Run: [MpfTray] C:\Archivos de programa\McAfee\Managed Firewall\MpfTray.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ClearCookies] C:\WINDOWS\cc.exe
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O16 - DPF: {0CE6ED6C-9AA8-43BD-B8FD-045CFE333DE4} (Telefónica Seguridad Class) - https://centroseguridad.telefonica.terra.es/OEM/TelefonicaSeguridad.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab
O16 - DPF: {40C83AF8-FEA7-4A6A-A470-431EE84A0886} (SecureObjectFactory Class) - http://descargaseguridad.telefonica.terra.es/VS2/bin/myCioAgt.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{428D2A51-46FE-4D1A-8082-47CE2738930E}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9AFD905-E0B3-4245-89A4-2A835043B6DA}: NameServer = 80.58.0.33,80.58.32.97
O18 - Protocol: myrm - {4D034FC3-013F-4B95-B544-44D49ABE3E76} - C:\Archivos de programa\McAfee\Managed VirusScan\Agent\MyRmProt3.5.0.478.dll
O18 - Filter: text/html - (no CLSID) - (no file)
O18 - Filter: text/plain - (no CLSID) - (no file)
O20 - Winlogon Notify: clbcatex - C:\WINDOWS\system32\clbcatix.dll (file missing)
O20 - Winlogon Notify: disk - C:\WINDOWS\system32\diskperff.dll
O20 - Winlogon Notify: pp - C:\WINDOWS\dkcpsapi.dll
O20 - Winlogon Notify: st3 - C:\WINDOWS\q259828.dll (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\Archivos de programa\McAfee\Managed Firewall\MpfService.exe
O23 - Service: McAfee Managed Services Agent (myAgtSvc) - McAfee, Inc. - C:\Archivos de programa\McAfee\Managed VirusScan\Agent\myAgtSvc.exe




Un saludo y gracias de antemano.

Hola marberdo, te doy la bienvenida al Foro de InfoSpyware.

Paso 1- Apaga el "Restaurar Sistema"

Paso 2- Descarga estas herramientas pero no las ejecutes aun:

• DelPSGuard
• Spy Sweeper 4.5

Paso 3- Reinicia eh inicia en "Modo a prueba de fallos" (modo seguro)

Paso 4- Con todos los programas cerrados ejecuta HijackThis y dale a estas entradas:

O2 - BHO: C:\WINDOWS\system32\diskperff.dll - {A82BE883-EE51-4FAB-85B4-9432C6056673} - C:\WINDOWS\system32\diskperff.dll

O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp38DD.tmp

O4 - HKCU\..\Run: [ClearCookies] C:\WINDOWS\cc.exe

O18 - Filter: text/html - (no CLSID) - (no file)
O18 - Filter: text/plain - (no CLSID) - (no file)

O20 - Winlogon Notify: clbcatex - C:\WINDOWS\system32\clbcatix.dll (file missing)
O20 - Winlogon Notify: disk - C:\WINDOWS\system32\diskperff.dll
O20 - Winlogon Notify: pp - C:\WINDOWS\dkcpsapi.dll
O20 - Winlogon Notify: st3 - C:\WINDOWS\q259828.dll (file missing)

O2 - BHO: MSEvents Object - {FC148228-87E1-4D00-AC06-58DCAA52A4D1} - C:\WINDOWS\System32\ddccy.dll

Paso 5- Sin reiniciar con el programa "KillBox" elimina estos archivos:

C:\WINDOWS\prflbmsgp32.dll
C:\WINDOWS\SYSTEM32\diskperff.dll
C:\WINDOWS\SYSTEM32\hp1C0E.tmp
C:\WINDOWS\cc.exe
C:\WINDOWS\SYSTEM32\st3.dll
C:\Documents and Settings\Usuario\prflbmsgp32.exe
C:\WINDOWS\dkcpsapi.dll



Paso 6- Ejecuta las herramientas de a una:

• DelPSGuard.exe
• Spy Sweeper 4.5

Paso 7- Reinicia y hacele un escaneo online con "Panda ActiveScan Online"

Paso 8- Usa el Disk Cleaner para limpiar cookies y temporales y RegSeeker para limpiar el registro de Win.

Reinicia y nos contas los resultados.

Salu2

Hola de nuevo

Muchas gracias por contestar. Te voy a comentar lo que me ha ocurrido.

Nada mas postear, segui intentando eliminar el malware, y digamos que lo conseguí, pero tuuve un problema. Cuando termine eliminando el dichoso archivo diskperff.dll (que me costo lo mas grande) use como me indicaban en el foro el programa regseeker. Tal como me indicaba el tutorial, limpie el registro varias veces, use guardar backups y cerre.

cual fue mi asombro al cerrar el programa. todos los iconos del escritorio que eran enlaces, habian perdido sus respectivos iconos. Incluso los del menu inicio. Se ve que entre las entradas que borro regseeker, habian extensiones entre las cuales estaban las .lnk. Pense rapidamente y recorde el chiste de los informaticos, y reinicie. Y cuando se inicio windows, no aparecio ni escritorio ni barra de tareas. Intente entrar en el administrador de tareas, pude, e intente iniciar explorer.exe. Nada, no funcionaba. Hice algunas consultas, y me dijeron de intentarlo con systray.exe. Nada. Edite system.ini, segun explicaba una pagina, colocando shell=explorer.exe en [boot], y nada. Accedi a regseeker, e intente cargar los backups, y los cargaba correctamente, pero al reiniciar todo seguia igual. He intentado restaurar el sistema a un punto anterior, pero tampoco funciona (si bien estaba anulada la opcion de restauracion del sistema, supongo que al menos me habria llevado a alguna fecha anterior a esa anulacion, pero tampoco).

Intenté expandir explorer.ex_ de un cd de instalacion, pero tampoco.

Llevo aqui 12 horas, sin poder conseguir nada. Bueno, al menos el malware y el troyano han desaparecido :-/

Ahora mismo estoy instalando un nuevo sistema operativo, encima del anterior, una gran chapuza, pero espero que funcione, por lo menos para no perder los archivos que tenia.

Si tienes alguna idea de que puede haber sido, o alguna idea de alguna solucion, me gustaria saberla, para la proxima vez, mas que nada, porque el windows "roto" todav ia está instalado.

Un saludo