Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola,

Por el contenido del forum, no soy el único que no consigue librarse del dichoso mensaje de spyaxe. Yo he probado de todo: ahí va la lista de programas

SpyBot S&D
Microsoft Antispyware v. beta
Adware v. 6.0
Pest Patrol
McAfee antispyware (versión demo 30 días)

Incluso accedí a vuetro foro y ví que algunos participantes (afortunados) habían conseguido deshacerse del spyware con killbox únicamente, aplicado sobre ciertos ficheros.
C:\WINDOWS\system32\svchosts.dll
C:\WINDOWS\System32\nvctrl.exe
C:\WINDOWS\System32\mssearchnet.exe
C:\WINDOWS\System32\hpA929.tmp

Yo lo probé y funcionó....un día. Después volvió a aparecer.

Ahí va my log. Os agradeceré vuestra ayuda

Joan Pino

Logfile of HijackThis v1.99.1
Scan saved at 8:11:49, on 03/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\archivos de programa\mcafee.com\agent\mcdetect.exe
c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
C:\Archivos de programa\McAfee\McAfee VirusScan\VsStat.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
C:\ARCHIV~1\PESTPA~1\PPControl.exe
C:\ARCHIV~1\PESTPA~1\PPMemCheck.exe
C:\ARCHIV~1\PESTPA~1\CookiePatrol.exe
C:\ARCHIV~1\mcafee.com\agent\mcregwiz.exe
C:\ARCHIV~1\mcafee.com\agent\mcagent.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe
C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\msiexec.exe
C:\ARCHIV~1\PKWARE\PKZIPW\pkzipw.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\HJT\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=0&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hpFC05.tmp
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\ARCHIV~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\ARCHIV~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\ARCHIV~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [Ad-aware] "C:\ARCHIV~1\Lavasoft\AD-AWA~1\Ad-aware.exe" +c
O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 4
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\system32\yaemu.exe
O4 - HKLM\..\Run: [McRegWiz] C:\ARCHIV~1\mcafee.com\agent\mcregwiz.exe /autorun
O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Consola KIT ADSL.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Microsoft® JavaScript® Console - {D4FA27F3-FAAB-47CB-9B7A-510C08C75AFA} - C:\WINDOWS\system32\comdlg32.ocx
O9 - Extra 'Tools' menuitem: JavaScript Console - {D4FA27F3-FAAB-47CB-9B7A-510C08C75AFA} - C:\WINDOWS\system32\comdlg32.ocx
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: Microsoft® JavaScript® Console - {D4FA27F3-FAAB-47CB-9B7A-510C08C75AFA} - C:\WINDOWS\system32\comdlg32.ocx (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console - {D4FA27F3-FAAB-47CB-9B7A-510C08C75AFA} - C:\WINDOWS\system32\comdlg32.ocx (HKCU)
O12 - Plugin for .mpeg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll
O13 - Home Prefix: http://www.heretofind.com/show.php?id=0&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=0&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=0&q=
O17 - HKLM\System\CCS\Services\Tcpip\..\{32613520-25A8-4178-AA4C-997BF661BF4C}: NameServer = 85.255.115.69,85.255.112.141
O17 - HKLM\System\CCS\Services\Tcpip\..\{334E7509-A641-4632-B1E5-F85127352352}: NameServer = 85.255.115.69 85.255.112.141
O17 - HKLM\System\CS1\Services\Tcpip\..\{32613520-25A8-4178-AA4C-997BF661BF4C}: NameServer = 85.255.115.69,85.255.112.141
O17 - HKLM\System\CS2\Services\Tcpip\..\{32613520-25A8-4178-AA4C-997BF661BF4C}: NameServer = 85.255.115.69,85.255.112.141
O17 - HKLM\System\CS3\Services\Tcpip\..\{32613520-25A8-4178-AA4C-997BF661BF4C}: NameServer = 85.255.115.69,85.255.112.141
O18 - Filter: application/hta - {D962EF38-5FB0-4761-8638-C86F085E25E6} - C:\WINDOWS\sysdll.reg
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\sysdll.reg
O18 - Filter: text/html - {E1C24F24-F7EA-4272-BC90-8EBB6686989D} - C:\WINDOWS\System32\kmmj.dll
O18 - Filter: text/plain - {E1C24F24-F7EA-4272-BC90-8EBB6686989D} - C:\WINDOWS\System32\kmmj.dll
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

Hola te doy la bienvenida al foro, no te olvides de pasar por WindowsUpdate periódicamente para tener actualizado el sistema, luego sigue estos pasos:

1.- Descarga la herramienta DelPSGuard.zip y descomprímela en el escritorio de Windows pero no la ejecutes aún.

2.- Apaga el "Restaurar Sistema"

3.- Activa la opción Ver Archivos Ocultos

4.- Reinicia en Modo a Prueba de Fallos

5.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=0&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hpFC05.tmp

O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\system32\yaemu.exe

O13 - Home Prefix: http://www.heretofind.com/show.php?id=0&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=0&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=0&q=

O18 - Filter: application/hta - {D962EF38-5FB0-4761-8638-C86F085E25E6} - C:\WINDOWS\sysdll.reg

O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\sysdll.reg

O18 - Filter: text/html - {E1C24F24-F7EA-4272-BC90-8EBB6686989D} - C:\WINDOWS\System32\kmmj.dll

O18 - Filter: text/plain - {E1C24F24-F7EA-4272-BC90-8EBB6686989D} - C:\WINDOWS\System32\kmmj.dll

6.- Sin reiniciar, busca y elimina este archivo, si no se deja eliminar descarga el programa "Killbox" y sigue las indicaciones del mensaje, copia y pega el archivo para que lo elimine al reiniciar.

C:\WINDOWS\system32\nvctrl.exe

C:\WINDOWS\system32\mssearchnet.exe

C:\WINDOWS\system32\hpFC05.tmp

C:\WINDOWS\system32\yaemu.exe

C:\WINDOWS\sysdll.reg

C:\WINDOWS\System32\kmmj.dll

7.- Ejecuta la herramienta DelPSGuard.exe y sigue las instrucciones del programa.

8.- Pasa el Disk Cleaner para limpiar cookies y temporales

9.- Pasa el Regseeker para Limpiar el Registro, pásalo hasta q no quede nada para eliminar.

10.- Pasa el Ad-Aware SE actualizado e instala SpywareBlaster

11.- Reinicia la maquina y pega otro log de Hijackthis aqui mismo, luego nos cuentas como te fue.

De preferencia imprime las indicaciones para que se te haga mas facil seguirlas.

Saludos

Hola amigos

Ejecuté todos los pasos que me indicó el moderador. Os mando mi nuevo log de Hijackthis


Logfile of HijackThis v1.99.1
Scan saved at 0:15:03, on 20/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
c:\archivos de programa\mcafee.com\agent\mcdetect.exe
c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
C:\ARCHIV~1\PESTPA~1\PPControl.exe
C:\ARCHIV~1\PESTPA~1\PPMemCheck.exe
C:\ARCHIV~1\PESTPA~1\CookiePatrol.exe
C:\ARCHIV~1\mcafee.com\agent\mcagent.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe
C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\HJT\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=0&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: International - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp56F9.tmp
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\ARCHIV~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\ARCHIV~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\ARCHIV~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [Ad-aware] "C:\ARCHIV~1\Lavasoft\AD-AWA~1\Ad-aware.exe" +c
O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 4
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\system32\yaemu.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Consola KIT ADSL.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Microsoft® JavaScript® Console - {D4FA27F3-FAAB-47CB-9B7A-510C08C75AFA} - C:\WINDOWS\system32\comdlg32.ocx
O9 - Extra 'Tools' menuitem: JavaScript Console - {D4FA27F3-FAAB-47CB-9B7A-510C08C75AFA} - C:\WINDOWS\system32\comdlg32.ocx
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: Microsoft® JavaScript® Console - {D4FA27F3-FAAB-47CB-9B7A-510C08C75AFA} - C:\WINDOWS\system32\comdlg32.ocx (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console - {D4FA27F3-FAAB-47CB-9B7A-510C08C75AFA} - C:\WINDOWS\system32\comdlg32.ocx (HKCU)
O12 - Plugin for .mpeg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll
O13 - Home Prefix: http://www.heretofind.com/show.php?id=0&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=0&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=0&q=
O17 - HKLM\System\CCS\Services\Tcpip\..\{32613520-25A8-4178-AA4C-997BF661BF4C}: NameServer = 85.255.115.69,85.255.112.141
O17 - HKLM\System\CCS\Services\Tcpip\..\{334E7509-A641-4632-B1E5-F85127352352}: NameServer = 85.255.115.69 85.255.112.141
O17 - HKLM\System\CS1\Services\Tcpip\..\{32613520-25A8-4178-AA4C-997BF661BF4C}: NameServer = 85.255.115.69,85.255.112.141
O17 - HKLM\System\CS2\Services\Tcpip\..\{32613520-25A8-4178-AA4C-997BF661BF4C}: NameServer = 85.255.115.69,85.255.112.141
O17 - HKLM\System\CS3\Services\Tcpip\..\{32613520-25A8-4178-AA4C-997BF661BF4C}: NameServer = 85.255.115.69,85.255.112.141
O18 - Filter: application/hta - {D962EF38-5FB0-4761-8638-C86F085E25E6} - C:\WINDOWS\sysdll.reg
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\sysdll.reg
O18 - Filter: text/html - {E1C24F24-F7EA-4272-BC90-8EBB6686989D} - C:\WINDOWS\System32\kmmj.dll
O18 - Filter: text/plain - {E1C24F24-F7EA-4272-BC90-8EBB6686989D} - C:\WINDOWS\System32\kmmj.dll
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

Mientras, espero si el mensaje de Spyware se vuelve a encarnar




Y felicidades por vuestro trabajo!!!

Aún hay entradas por reaprar en ese log, sigue estos pasos:

1.- Descarga la nueva versión de la herramienta DelPSGuard.zip y descomprímela en el escritorio de Windows pero no la ejecutes aún.

2.- Apaga el "Restaurar Sistema"

3.- Activa la opción Ver Archivos Ocultos

4.- Reinicia en Modo a Prueba de Fallos

5.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=0&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: International - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp56F9.tmp

O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\system32\yaemu.exe

O13 - Home Prefix: http://www.heretofind.com/show.php?id=0&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=0&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=0&q=

O18 - Filter: application/hta - {D962EF38-5FB0-4761-8638-C86F085E25E6} - C:\WINDOWS\sysdll.reg
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\sysdll.reg
O18 - Filter: text/html - {E1C24F24-F7EA-4272-BC90-8EBB6686989D} - C:\WINDOWS\System32\kmmj.dll
O18 - Filter: text/plain - {E1C24F24-F7EA-4272-BC90-8EBB6686989D} - C:\WINDOWS\System32\kmmj.dll

6.- Sin reiniciar, busca y elimina estos archivos, si no se dejan eliminar descarga el programa "Killbox" y sigue las indicaciones del mensaje, copia y pega los archivos para que los elimine al reiniciar.

C:\WINDOWS\system32\hp56F9.tmp

C:\WINDOWS\system32\yaemu.exe

C:\WINDOWS\sysdll.reg

C:\WINDOWS\System32\kmmj.dll

7.- Ejecuta la herramienta DelPSGuard.exe y sigue las instrucciones del programa.

8.- Pasa el Disk Cleaner para limpiar cookies y temporales

9.- Pasa el Regseeker para Limpiar el Registro, pásalo hasta q no quede nada para eliminar.

10.- Pasa el Ad-Aware SE actualizado e instala SpywareBlaster

11.- Reinicia la maquina y pega otro log de Hijackthis aqui mismo, luego nos cuentas como te fue.

De preferencia imprime las indicaciones para que se te haga mas facil seguirlas.

Saludos

Hola,

Como veréis abajo, el log es idéntico al que obtuve ayer, después de repetir dos veces el proceso indicado por GPastor. Tengo tres dudas

1. Hay que pasar el Regseeker sin opción backup?
2. No encuentro los ficheros que me indicais que borre (listados a continuación). Sencillamente no están

C:\WINDOWS\system32\hp56F9.tmp
C:\WINDOWS\system32\yaemu.exe
C:\WINDOWS\sysdll.reg
C:\WINDOWS\System32\kmmj.dll

3. El Ad-Aware SE es lo mismo que el Ad-aware 6.0?

Saludos!


Logfile of HijackThis v1.99.1
Scan saved at 23:21:10, on 20/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
c:\archivos de programa\mcafee.com\agent\mcdetect.exe
c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
C:\ARCHIV~1\PESTPA~1\PPControl.exe
C:\ARCHIV~1\PESTPA~1\PPMemCheck.exe
C:\ARCHIV~1\PESTPA~1\CookiePatrol.exe
C:\ARCHIV~1\mcafee.com\agent\mcagent.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe
C:\Archivos de programa\HJT\HijackThis.exe
C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Microsoft AntiSpyware\GIANTAntiSpywareUpdater.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=0&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: International - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp56F9.tmp (file missing)
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\ARCHIV~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\ARCHIV~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\ARCHIV~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [Ad-aware] "C:\ARCHIV~1\Lavasoft\AD-AWA~1\Ad-aware.exe" +c
O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 4
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\system32\yaemu.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Consola KIT ADSL.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Microsoft® JavaScript® Console - {D4FA27F3-FAAB-47CB-9B7A-510C08C75AFA} - C:\WINDOWS\system32\comdlg32.ocx
O9 - Extra 'Tools' menuitem: JavaScript Console - {D4FA27F3-FAAB-47CB-9B7A-510C08C75AFA} - C:\WINDOWS\system32\comdlg32.ocx
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: Microsoft® JavaScript® Console - {D4FA27F3-FAAB-47CB-9B7A-510C08C75AFA} - C:\WINDOWS\system32\comdlg32.ocx (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console - {D4FA27F3-FAAB-47CB-9B7A-510C08C75AFA} - C:\WINDOWS\system32\comdlg32.ocx (HKCU)
O12 - Plugin for .mpeg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll
O13 - Home Prefix: http://www.heretofind.com/show.php?id=0&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=0&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=0&q=
O17 - HKLM\System\CCS\Services\Tcpip\..\{32613520-25A8-4178-AA4C-997BF661BF4C}: NameServer = 85.255.115.69,85.255.112.141
O17 - HKLM\System\CS1\Services\Tcpip\..\{32613520-25A8-4178-AA4C-997BF661BF4C}: NameServer = 85.255.115.69,85.255.112.141
O17 - HKLM\System\CS2\Services\Tcpip\..\{32613520-25A8-4178-AA4C-997BF661BF4C}: NameServer = 85.255.115.69,85.255.112.141
O17 - HKLM\System\CS3\Services\Tcpip\..\{32613520-25A8-4178-AA4C-997BF661BF4C}: NameServer = 85.255.115.69,85.255.112.141
O18 - Filter: application/hta - {D962EF38-5FB0-4761-8638-C86F085E25E6} - C:\WINDOWS\sysdll.reg
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\sysdll.reg
O18 - Filter: text/html - {E1C24F24-F7EA-4272-BC90-8EBB6686989D} - C:\WINDOWS\System32\kmmj.dll
O18 - Filter: text/plain - {E1C24F24-F7EA-4272-BC90-8EBB6686989D} - C:\WINDOWS\System32\kmmj.dll
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

Debes tener algún residente en memoria que impide la limpieza.

Es preferible tener la opción "Backup antes de suprimir activada, para en caso de algún percance poder recuperar lo que hemos eliminado.

Intenta repitiendo los pasos en Modo Normal, pero desactivando o desinstalando momentáneamente (si los tienes) programas como Ad-Watch de Ad-aware, Tea Timer de Spybot, Microsoft AntiSpyware, etc y luego repite los pasos que te indiqué arriba.

Ad-aware SE, las siglas SE vienen de Second Edition (Segunda Edición) el Ad-aware 6.0 pertenece a la primera edición por lo que te recomiendo desinstalarlo e instalar la nueva versión.

Ya nos contarás como te fue.

Saludos

Hola!

Ejecuté el protocolo de limpieza en modo normal como dijo GPastor y parece que funciono! Por lo menos, el log ya no reproduce las entradas conflictivas

Sois unos genios!



Logfile of HijackThis v1.99.1
Scan saved at 15:58:28, on 21/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\archivos de programa\mcafee.com\agent\mcdetect.exe
c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
C:\ARCHIV~1\PESTPA~1\PPControl.exe
C:\ARCHIV~1\PESTPA~1\PPMemCheck.exe
C:\ARCHIV~1\PESTPA~1\CookiePatrol.exe
C:\ARCHIV~1\mcafee.com\agent\mcagent.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe
C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\ARCHIV~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\ARCHIV~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\ARCHIV~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [Ad-aware] "C:\ARCHIV~1\Lavasoft\AD-AWA~1\Ad-aware.exe" +c
O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 4
O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\ARCHIV~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Consola KIT ADSL.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Microsoft® JavaScript® Console - {D4FA27F3-FAAB-47CB-9B7A-510C08C75AFA} - C:\WINDOWS\system32\comdlg32.ocx
O9 - Extra 'Tools' menuitem: JavaScript Console - {D4FA27F3-FAAB-47CB-9B7A-510C08C75AFA} - C:\WINDOWS\system32\comdlg32.ocx
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: Microsoft® JavaScript® Console - {D4FA27F3-FAAB-47CB-9B7A-510C08C75AFA} - C:\WINDOWS\system32\comdlg32.ocx (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console - {D4FA27F3-FAAB-47CB-9B7A-510C08C75AFA} - C:\WINDOWS\system32\comdlg32.ocx (HKCU)
O12 - Plugin for .mpeg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{32613520-25A8-4178-AA4C-997BF661BF4C}: NameServer = 85.255.115.69,85.255.112.141
O17 - HKLM\System\CCS\Services\Tcpip\..\{334E7509-A641-4632-B1E5-F85127352352}: NameServer = 85.255.115.69 85.255.112.141
O17 - HKLM\System\CS1\Services\Tcpip\..\{32613520-25A8-4178-AA4C-997BF661BF4C}: NameServer = 85.255.115.69,85.255.112.141
O17 - HKLM\System\CS2\Services\Tcpip\..\{32613520-25A8-4178-AA4C-997BF661BF4C}: NameServer = 85.255.115.69,85.255.112.141
O17 - HKLM\System\CS3\Services\Tcpip\..\{32613520-25A8-4178-AA4C-997BF661BF4C}: NameServer = 85.255.115.69,85.255.112.141
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - (no file)
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

Da mucho gusto que hayas podido solucionar el problema, el log está limpio así que damos el tema por solucionado

Saludos