Buenas,

Antes de todo, gracias por el tiempo que me dedicas.

He actualizado el SO, he instalado Sygate Personal Firewall y he analizado el sistema con Mwav.exe.

Resultado:

- Si tengo instalado Sygate Personal Firewall, no se me cargan las páginas de internet ??? Le digo que sí autorice el acceso del explorador pero no se cargan... Así que para poder navegar, tengo que desinstalarlo y reiniciar la computadora.

- Ha aparecido una nueva carpeta C:\!Submit que contiene los siguientes archivos: carpeta Copy, carpeta Excute, IUAA62.EXE, Lazo azul 16.vokohm.$DATA.bmp, LZ7F9F.EXE. La he eliminado en modo seguro pero al reiniciar, al igual que el archivo de la carpeta C:\WINDOWS\Temp, vuelve a aparecer.

- Pego log Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 12:14:11, on 16/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\ARCHIV~1\ACCESO~1\Ghost\GHOSTS~2.EXE
C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\PG952B.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Archivos de programa\D-Tools\daemon.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Yahoo!\Messenger\ypager.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Skype\Phone\Skype.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntupd.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
D:\Documentos\Miquel\Programes i PC\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar2.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O8 - Extra context menu item: &Búsqueda en Google - res://c:\windows\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\windows\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\windows\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://c:\windows\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\windows\GoogleToolbar2.dll/cmbacklinks.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Seekmo/ie/bridge-c24.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D4B106C-5945-4FAE-8814-C40258AAEBC2}: NameServer = 130.206.42.224,130.206.42.227
O17 - HKLM\System\CCS\Services\Tcpip\..\{4DF60A11-C9B4-414A-83B1-349BF56C9F17}: NameServer = 130.206.42.224,195.235.113.3,130.206.42.227
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: GhostStartService - Symantec Corporation - C:\ARCHIV~1\ACCESO~1\Ghost\GHOSTS~2.EXE
O23 - Service: Exploración en tiempo real de OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: Cortafuegos de OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe

- Pego MWAV.LOG:

Mon Jan 16 11:38:48 2006 => ***** Scanning Registry and File system for Adware/Spyware *****
Mon Jan 16 11:38:48 2006 => Loading Spyware Signatures from new External Database (Size: 147530).
Mon Jan 16 11:38:50 2006 => Indexed Spyware Databases Successfully Created...

Mon Jan 16 11:40:08 2006 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.
Mon Jan 16 11:40:09 2006 => Offending Key found: HKLM\Software\gnu !!!
Mon Jan 16 11:40:09 2006 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Jan 16 11:40:09 2006 => Offending Key found: HKCU\Software\gnu !!!
Mon Jan 16 11:40:09 2006 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Jan 16 11:40:09 2006 => Offending Folder found: C:\WINDOWS\DOWNLO~1\conflict.1
Mon Jan 16 11:40:09 2006 => Object "180solutions Spyware/Adware" found in File System! Action Taken: No Action Taken.


Mon Jan 16 11:40:33 2006 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Mon Jan 16 11:40:33 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Mo duleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\CONFLICT.2\ISTactivex.dll". Action Taken: No Action Taken.

Mon Jan 16 11:40:33 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Mo duleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\CONFLICT.3\ISTactivex.dll". Action Taken: No Action Taken.

Mon Jan 16 11:40:33 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Mo duleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\CONFLICT.4\MediaGatewayX.dll". Action Taken: No Action Taken.

Mon Jan 16 11:40:33 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Mo duleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\CONFLICT.5\ISTactivex.dll". Action Taken: No Action Taken.

Mon Jan 16 11:40:33 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Mo duleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\CONFLICT.6\istactivex.dll". Action Taken: No Action Taken.

Mon Jan 16 11:40:33 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Mo duleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\MediaGatewayX.dll". Action Taken: No Action Taken.

Mon Jan 16 11:40:33 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Sh aredDlls" refers to invalid object "C:\WINDOWS\System32\iuctl.dll". Action Taken: No Action Taken.

Mon Jan 16 11:40:36 2006 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\FileExts" refers to invalid object ".com%5D%20MJ%2069ptsGameDVDRip/". Action Taken: No Action Taken.

Mon Jan 16 11:40:36 2006 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\FileExts" refers to invalid object ".com%5D/". Action Taken: No Action Taken.

Mon Jan 16 11:40:36 2006 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\FileExts" refers to invalid object ".com/". Action Taken: No Action Taken.

Mon Jan 16 11:40:36 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" refers to invalid object "KB817778". Action Taken: No Action Taken.

Mon Jan 16 11:40:36 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" refers to invalid object "KB820291". Action Taken: No Action Taken.

Mon Jan 16 11:40:36 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" refers to invalid object "KB821253". Action Taken: No Action Taken.

Mon Jan 16 11:40:36 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" refers to invalid object "KB823182". Action Taken: No Action Taken.

Mon Jan 16 11:40:36 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" refers to invalid object "KB824105". Action Taken: No Action Taken.

Mon Jan 16 11:40:36 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" refers to invalid object "KB824141". Action Taken: No Action Taken.

Mon Jan 16 11:40:36 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" refers to invalid object "KB824146". Action Taken: No Action Taken.

Mon Jan 16 11:40:36 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" refers to invalid object "KB825119". Action Taken: No Action Taken.

Mon Jan 16 11:40:36 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" refers to invalid object "KB826939". Action Taken: No Action Taken.

Mon Jan 16 11:40:36 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" refers to invalid object "KB828035". Action Taken: No Action Taken.

Mon Jan 16 11:40:36 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" refers to invalid object "KB828741". Action Taken: No Action Taken.

Mon Jan 16 11:40:36 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" refers to invalid object "KB835732". Action Taken: No Action Taken.

Mon Jan 16 11:40:36 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" refers to invalid object "KB837001". Action Taken: No Action Taken.

Mon Jan 16 11:40:36 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" refers to invalid object "KB840374". Action Taken: No Action Taken.

Mon Jan 16 11:40:36 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" refers to invalid object "KB842773". Action Taken: No Action Taken.

Mon Jan 16 11:40:36 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" refers to invalid object "oeupdate". Action Taken: No Action Taken.

Mon Jan 16 11:40:36 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" refers to invalid object "Q322011". Action Taken: No Action Taken.

Mon Jan 16 11:40:36 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" refers to invalid object "Q327979". Action Taken: No Action Taken.

Mon Jan 16 11:40:36 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" refers to invalid object "Q814995". Action Taken: No Action Taken.

Mon Jan 16 11:40:36 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" refers to invalid object "Q815485". Action Taken: No Action Taken.

Mon Jan 16 11:40:36 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" refers to invalid object "Q819696". Action Taken: No Action Taken.

Mon Jan 16 11:40:36 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" refers to invalid object "Q828026". Action Taken: No Action Taken.

Mon Jan 16 11:40:36 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" refers to invalid object "{611CD802-60A6-4D75-8781-C3AC19573D79}". Action Taken: No Action Taken.

Mon Jan 16 11:40:36 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" refers to invalid object "{A788308B-6C10-4343-8D50-D9F040126457}". Action Taken: No Action Taken.

Mon Jan 16 11:40:39 2006 => Entry "HKCR\CLSID\{83D4679F-B6D7-11D2-BF36-00C04FB90A03}" refers to invalid object "C:\ARCHIV~1\MESSEN~1\rtcimsp.dll". Action Taken: No Action Taken.

Mon Jan 16 11:40:41 2006 => Entry "HKCR\TypeLib\{6BF45CA9-E2D5-4C2E-A860-188AADD569F2}" refers to invalid object "C:\DOCUME~1\Sandra\CONFIG~1\Temp\VBE\MSForms.exd" . Action Taken: No Action Taken.

Mon Jan 16 11:40:41 2006 => Entry "HKCR\TypeLib\{9DEE9BBB-A56C-4F9F-BB46-473A9BCFD13E}" refers to invalid object "C:\DOCUME~1\Sandra\CONFIG~1\Temp\VBE\RefEdit.exd" . Action Taken: No Action Taken.

Mon Jan 16 11:40:42 2006 => Entry "HKCR\TypeLib\{D2E2B564-A6A7-4839-B361-F1375538D30F}" refers to invalid object "C:\DOCUME~1\Sandra\CONFIG~1\Temp\VBE\MSForms.exd" . Action Taken: No Action Taken.

Mon Jan 16 11:40:42 2006 => Entry "HKCR\TypeLib\{DCB43485-19FB-4D6D-BB3D-73C7F48D5F00}" refers to invalid object "C:\Archivos de programa\Messenger\rtcimsp.dll". Action Taken: No Action Taken.

Mon Jan 16 11:40:42 2006 => Entry "HKCR\TypeLib\{EBD11628-30D3-44A4-A119-2EDAB1C8B4C2}" refers to invalid object "C:\DOCUME~1\Sandra\CONFIG~1\Temp\VBE\RefEdit.exd" . Action Taken: No Action Taken.

Mon Jan 16 11:40:42 2006 => Entry "HKCR\Alg.AlgSetup" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken.

Mon Jan 16 11:40:42 2006 => Entry "HKCR\Alg.AlgSetup.1" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken.

Mon Jan 16 11:40:43 2006 => Entry "HKCR\ppifile\shell\open\command" refers to invalid object "%SystemRoot%\System32\msppcnfg.exe /Config %1". Action Taken: No Action Taken.

Mon Jan 16 11:40:44 2006 => Entry "HKCR\RTCCore.RTCClient" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: No Action Taken.

Mon Jan 16 11:40:44 2006 => Entry "HKCR\RTCCore.RTCClient.1" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: No Action Taken.

Gracias por tu ayuda.

Esto no tendría que pasar si el Firewall está bien configurado, aquí te dejo el Manual del Sygate Personal Firewall.

La carpeta C:\!Submit es creada por el Killbox, y se crea cuando no está seleccionada la opción "Delete on Reboot" para que esa carpeta deje de crearse debes seleccionar esa opción.

El archivo de la carpeta Temp es lo que debemos solucionar

El log de Hijackthis sigue mostrando el archivo de la carpeta Temp así que veamos ese reporte de MWAV:

En Modo a prueba de Fallos busca y elimina estas carpetas con todo su contenido:

C:\WINDOWS\Downloaded Program Files\conflict.1\
C:\WINDOWS\Downloaded Program Files\CONFLICT.2\
C:\WINDOWS\Downloaded Program Files\CONFLICT.3\
C:\WINDOWS\Downloaded Program Files\CONFLICT.4\
C:\WINDOWS\Downloaded Program Files\CONFLICT.5\
C:\WINDOWS\Downloaded Program Files\CONFLICT.6\

Y elimina también los siguientes archivos, para los que no se dejan eliminar usa Killbox:

C:\WINDOWS\Downloaded Program Files\MediaGatewayX.dll
C:\WINDOWS\TEMP\PG952B.EXE
C:\DOCUME~1\Sandra\CONFIG~1\Temp\VBE\MSForms.exd
C:\DOCUME~1\Sandra\CONFIG~1\Temp\VBE\RefEdit.exd

- Luego escribe ve a Inicio-->Ejecutar y escribe %temp% y trata de eliminar todo el contenido de la carpeta. ¡¡OJO!! no elimines la carpeta, solo su contenido.

- También elimina todo lo que se encuentre dentro de la carpeta C:\WINDOWS\Temp.

- Pasa el Disk Cleaner para limpiar cookies y temporales, marca todas las opciones.

- Pasa el Regseeker para Limpiar el Registro, pásalo hasta q no quede nada para eliminar.

- Reinicia la máquina y pega otro log de Hijackthis.

Saludos

Hola,

Voy a la ruta C:\WINDOWS\Downloaded Program Files\ y no encuentro las carpetas ni archivos indicados y que aparecen en el log:

C:\WINDOWS\Downloaded Program Files\conflict.1\
C:\WINDOWS\Downloaded Program Files\CONFLICT.2\
C:\WINDOWS\Downloaded Program Files\CONFLICT.3\
C:\WINDOWS\Downloaded Program Files\CONFLICT.4\
C:\WINDOWS\Downloaded Program Files\CONFLICT.5\
C:\WINDOWS\Downloaded Program Files\CONFLICT.6\
C:\WINDOWS\Downloaded Program Files\MediaGatewayX.dll

Tampoco encuentro:

C:\DOCUME~1\Sandra\CONFIG~1\Temp\VBE\MSForms.exd
C:\DOCUME~1\Sandra\CONFIG~1\Temp\VBE\RefEdit.exd

Tengo marcado y desmarcado en sistema\opciones de carpeta las opciones necesarias para poder ver todas las carpetas y archivos ocultos, etc.

Acabo de analizar de nuevo el SO con MWAV y aparecen bien estas rutas pero no cuando las busco.

Que tengo que hacer?

Gracias.

Los archivos que encuentra el MWAV pertenecen a 180solutions e ISTBar.

Realiza un escaneo con CWShredder, Ad-aware SE y Spybot Search & Destroy y luego limpias el registro con Regseeker.

Si aún persiste el problema puedes seguir estos pasos.

¿El error del teclado persiste?

¿El archivo que cambia de nombre se sigue creando en la carpeta Temp?

De ser así vamos a usar una herramienta llamada Silent Runners (para descargar este, haz clic con el botón derecho y selecciona guardar como).
Guárdalo en una carpeta y para ejecutarlo, simplemente haz dos clics sobre el, espera un poco y aparecerá una ventana del block de Notas con el reporte y lo pegas en este mensaje.

Saludos

Buenas tardes,

El problema persiste pero creo k el Spybot Search & Destroy se ha cargado el ISTbar.

Comentarte, por si puede servir de algo, que durante el proceso que me has indicado en el mail anterior -Realiza un escaneo con CWShredder, Ad-aware SE y Spybot Search & Destroy y luego limpias el registro con Regseeker- se han eliminado los archivos que siempre aparecen en el temp (modo seguro). He reiniciado de nuevo en modo seguro y no han aparecido pero el problema persiste. Más tarde, por casualidad, he visto que en la carpeta C:\Archivos de programa\Trend Micro\OfficeScan Client, aparece el archivo OfcDog.exe (curiosamente con el mismo icono i el mismo peso (169kb) que los que siempre se regeneran en el temp. Tb en la carpeta C:\Archivos de programa\Trend Micro\OfficeScan Client, aparece el archivo OfcDog.dll. Tienen alguna relación con el problema del teclado?

Pego a continuación el reporte de Silent Runners:

"Silent Runners.vbs", revision 43, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \ {++}
"Yahoo! Pager" = "C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet" ["Yahoo! Inc."]
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \ {++}
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"AdslTaskBar" = "rundll32.exe stmctrl.dll,TaskBar" [MS]
"OfficeScanNT Monitor" = ""C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow" ["Trend Micro Inc."]
"QuickTime Task" = ""C:\Archivos de programa\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"DAEMON Tools-1033" = ""C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033" ["DAEMON'S HOME"]
"TkBellExe" = ""C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\windows\googletoolbar2.dll" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extensión de paneo de pantalla del Panel de control"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extensión de icono de HyperTerminal"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Archivos de programa\Microsoft Office\Office10\msohev.dll" [MS]
"{57C51AF9-DEF7-11D3-A801-00C04F163490}" = "Ghost Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Archivos de programa\Accesorios\Ghost\GhoShExt.dll" ["Symantec Corporation"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Archivos de programa\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{BF05BB6E-442C-428B-8025-82280B7BC26C}" = "Zen Micro Media Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\Archivos de programa\Creative\Creative Zen Micro\Zen Micro Media Explorer\CTJBNS2.dll" ["Creative Technology Ltd"]
"{328D8DA1-64BF-4138-8CD6-1FB6741CA645}" = "MuVo N200 Media Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\Archivos de programa\Creative\MediaSource\MuVo N200 Media Explorer\CTMvns.dll" ["Creative Technology Ltd"]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! WRNotifier\DLLName = "WRLogonNTF.dll" [file not found]

HKLM\Software\Classes\*\shellex\ContextMenuHandler s\
PowerArchiver\(Default) = "{d03d3e68-0c44-3d45-b15f-bcfd8a8b4c7e}"
-> {CLSID}\InProcServer32\(Default) = "C:\Archivos de programa\Accesorios\PowerArchiver\PASHLEXT.DLL" ["ConeXware, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHa ndlers\
PowerArchiver\(Default) = "{d03d3e68-0c44-3d45-b15f-bcfd8a8b4c7e}"
-> {CLSID}\InProcServer32\(Default) = "C:\Archivos de programa\Accesorios\PowerArchiver\PASHLEXT.DLL" ["ConeXware, Inc."]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ShellState


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Pa rameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Pa rameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 25
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\windows\googletoolbar2.dll" ["Google Inc."]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\windows\googletoolbar2.dll" ["Google Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\windows\googletoolbar2.dll" ["Google Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Archivos de programa\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
Cortafuegos de OfficeScanNT, OfcPfwSvc, "C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe" ["Trend Micro Inc."]
Creative Service for CDROM Access, Creative Service for CDROM Access, "C:\WINDOWS\System32\CTsvcCDA.EXE" ["Creative Technology Ltd"]
Exploración en tiempo real de OfficeScanNT, ntrtscan, "C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe" ["Trend Micro Inc."]
GhostStartService, GhostStartService, "C:\ARCHIV~1\ACCESO~1\Ghost\GHOSTS~2.EXE" ["Symantec Corporation"]
OfficeScanNT Listener, tmlisten, "C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe" ["Trend Micro Inc."]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monito rs\
PDF Port\Driver = "C:\WINDOWS\System32\pdfports.dll" ["Adobe Systems Incorporated."]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 55 seconds, including 18 seconds for message boxes)



Pego log Hijack:


Logfile of HijackThis v1.99.1
Scan saved at 19:08:55, on 17/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\ARCHIV~1\ACCESO~1\Ghost\GHOSTS~2.EXE
C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\SVC283.EXE
C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntupd.exe
C:\Archivos de programa\eMule\emule.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\DOCUME~1\Sandra\CONFIG~1\Temp\mwavscan.com
C:\DOCUME~1\Sandra\CONFIG~1\Temp\kavss.exe
C:\WINDOWS\SYSTEM32\cidaemon.exe
D:\Documentos\Miquel\Programes i PC\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar2.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Búsqueda en Google - res://c:\windows\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\windows\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\windows\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://c:\windows\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\windows\GoogleToolbar2.dll/cmbacklinks.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D4B106C-5945-4FAE-8814-C40258AAEBC2}: NameServer = 130.206.42.224,130.206.42.227
O17 - HKLM\System\CCS\Services\Tcpip\..\{4DF60A11-C9B4-414A-83B1-349BF56C9F17}: NameServer = 130.206.42.224,195.235.113.3,130.206.42.227
O17 - HKLM\System\CCS\Services\Tcpip\..\{997DAE44-FD6E-45E0-863B-7FF2CAF080EF}: NameServer = 212.151.137.170 212.151.136.246
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: GhostStartService - Symantec Corporation - C:\ARCHIV~1\ACCESO~1\Ghost\GHOSTS~2.EXE
O23 - Service: Exploración en tiempo real de OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: Cortafuegos de OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe


Por último el Log MWAV:

Tue Jan 17 19:04:57 2006 => ***** Scanning Registry and File system for Adware/Spyware *****
Tue Jan 17 19:04:58 2006 => Loading Spyware Signatures from new External Database (Size: 147530).
Tue Jan 17 19:04:59 2006 => Indexed Spyware Databases Successfully Created...

Tue Jan 17 19:05:01 2006 => Offending Key found: HKLM\Software\gnu !!!
Tue Jan 17 19:05:02 2006 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jan 17 19:05:02 2006 => Offending Key found: HKCU\Software\gnu !!!
Tue Jan 17 19:05:02 2006 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jan 17 19:05:03 2006 => Offending Folder found: C:\WINDOWS\DOWNLO~1\conflict.1
Tue Jan 17 19:05:03 2006 => Object "180solutions Spyware/Adware" found in File System! Action Taken: No Action Taken.


Tue Jan 17 19:05:29 2006 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Tue Jan 17 19:05:29 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Mo duleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\CONFLICT.4\MediaGatewayX.dll". Action Taken: No Action Taken.

Tue Jan 17 19:05:29 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Mo duleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\MediaGatewayX.dll". Action Taken: No Action Taken.

Tue Jan 17 19:05:32 2006 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\FileExts" refers to invalid object ".com%5D%20MJ%2069ptsGameDVDRip/". Action Taken: No Action Taken.

Tue Jan 17 19:05:32 2006 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\FileExts" refers to invalid object ".com%5D/". Action Taken: No Action Taken.

Tue Jan 17 19:05:32 2006 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\FileExts" refers to invalid object ".com/". Action Taken: No Action Taken.

Tue Jan 17 19:05:33 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" refers to invalid object "{611CD802-60A6-4D75-8781-C3AC19573D79}". Action Taken: No Action Taken.

Tue Jan 17 19:05:33 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p Management\ARPCache" refers to invalid object "{A788308B-6C10-4343-8D50-D9F040126457}". Action Taken: No Action Taken.


Gracias.

El reporte de Silent Runners está limpio.

El reporte del MWAV aún muestra a MediaGatewayX.dll busca y elimina ese archivo, sino se deja eliminar usa Killbox.

El archivo OfcDog.exe pertenece al Trend Micro no hay de que preocuparse, lo que me extraña es que el archivo que se genera en la carpeta Temp tenga el mismo icono y peso

Busca el archivo que se genera en la carpeta Temp en este caso:

C:\WINDOWS\TEMP\SVC283.EXE

y para descartar que se trate de un malware sube ese archivo a la página de VirusTotal y pega el reporte en este mismo mensaje para su análisis.

No se si tenga relación directa con el problema con el teclado, pero como manifiestas que en otra cuenta de usuario el teclado funciona normalmente es por eso que me causa extrañeza, intenta con otro teclado.

Saludos

Hola,

No consigo encontrar de ninguna manera este archivo. Como puedo encontrarlo? No está donde

se supone que debería estar: C:\WINDOWS\Downloaded Program Files.

Me he fijado que ahora (ayer tb) el archivo que se reproduce en la carpeta Temp ya no es solo uno sino (a veces) dos o tres...!!!!

Pego reportes Virustotal:

Este es el resultado de analizar el archivo "VZ40A8.EXE" (C:\WINDOWS\Temp) que VirusTotal ha procesado el dia 18/01/2006 a las 12:22:32 (CET).

Antivirus Version Actualización Resultado

AntiVir 6.33.0.77 18.01.2006 Heuristic/Backdoor.Generic
Avast 4.6.695.0 17.01.2006 no ha encontrado virus
AVG 718 18.01.2006 no ha encontrado virus
Avira 6.33.0.77 18.01.2006 Heuristic/Backdoor.Generic
BitDefender 7.2 18.01.2006 no ha encontrado virus
CAT-QuickHeal 8.00 18.01.2006 no ha encontrado virus
ClamAV devel-20051123 17.01.2006 no ha encontrado virus
DrWeb 4.33 18.01.2006 BACKDOOR.Trojan
eTrust-InoculateIT 23.71.52 18.01.2006 no ha encontrado virus
eTrust-Vet 12.4.2048 18.01.2006 no ha encontrado virus
Ewido 3.5 17.01.2006 no ha encontrado virus
Fortinet 2.54.0.0 18.01.2006 no ha encontrado virus
F-Prot 3.16c 16.01.2006 no ha encontrado virus
Ikarus 0.2.59.0 17.01.2006 no ha encontrado virus
Kaspersky 4.0.2.24 18.01.2006 no ha encontrado virus
McAfee 4676 17.01.2006 no ha encontrado virus
NOD32v2 1.1370 18.01.2006 no ha encontrado virus
Norman 5.70.10 17.01.2006 no ha encontrado virus
Panda 9.0.0.4 17.01.2006 no ha encontrado virus
Sophos 4.01.0 18.01.2006 no ha encontrado virus
Symantec 8.0 18.01.2006 no ha encontrado virus
TheHacker 5.9.2.075 17.01.2006 no ha encontrado virus
UNA 1.83 17.01.2006 no ha encontrado virus
VBA32 3.10.5 17.01.2006 no ha encontrado virus



Este es el resultado de analizar el archivo "OfcDog.exe" (Trend Micro) que VirusTotal ha procesado el dia

18/01/2006 a las 12:24:08 (CET).


Antivirus Version Actualización Resultado


AntiVir 6.33.0.77 18.01.2006 Heuristic/Backdoor.Generic
Avast 4.6.695.0 17.01.2006 no ha encontrado virus
AVG 718 18.01.2006 no ha encontrado virus
Avira 6.33.0.77 18.01.2006 Heuristic/Backdoor.Generic
BitDefender 7.2 18.01.2006 no ha encontrado virus
CAT-QuickHeal 8.00 18.01.2006 no ha encontrado virus
ClamAV devel-20051123 17.01.2006 no ha encontrado virus
DrWeb 4.33 18.01.2006 BACKDOOR.Trojan
eTrust-InoculateIT 23.71.52 18.01.2006 no ha encontrado virus
eTrust-Vet 12.4.2048 18.01.2006 no ha encontrado virus
Ewido 3.5 17.01.2006 no ha encontrado virus
Fortinet 2.54.0.0 18.01.2006 no ha encontrado virus
F-Prot 3.16c 16.01.2006 no ha encontrado virus
Ikarus 0.2.59.0 17.01.2006 no ha encontrado virus
Kaspersky 4.0.2.24 18.01.2006 no ha encontrado virus
McAfee 4676 17.01.2006 no ha encontrado virus
NOD32v2 1.1370 18.01.2006 no ha encontrado virus
Norman 5.70.10 17.01.2006 no ha encontrado virus
Panda 9.0.0.4 17.01.2006 no ha encontrado virus
Sophos 4.01.0 18.01.2006 no ha encontrado virus
Symantec 8.0 18.01.2006 no ha encontrado virus
TheHacker 5.9.2.075 17.01.2006 no ha encontrado virus
UNA 1.83 17.01.2006 no ha encontrado virus
VBA32 3.10.5 17.01.2006 no ha encontrado virus


Pego reporte MWAV:

Wed Jan 18 12:01:13 2006 => ***** Scanning Registry for errors created because of

Adware/Spyware *****
Wed Jan 18 12:01:13 2006 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\Mo duleUsage" refers to invalid object

"C:\WINDOWS\Downloaded Program Files\CONFLICT.4\MediaGatewayX.dll". Action Taken: No Action

Taken.

Wed Jan 18 12:01:13 2006 => Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\Mo duleUsage" refers to invalid object

"C:\WINDOWS\Downloaded Program Files\MediaGatewayX.dll". Action Taken: No Action Taken.

Wed Jan 18 12:01:15 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p

Paths\regrun2.exe" refers to invalid object "C:\Archivos de

programa\Greatis\RegRunSuite\regrun2.exe". Action Taken: No Action Taken.

Wed Jan 18 12:01:15 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p

Paths\sed.exe" refers to invalid object "C:\Archivos de

programa\Greatis\RegRunSuite\sed.exe". Action Taken: No Action Taken.

Wed Jan 18 12:01:15 2006 => Entry

"HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\FileExts" refers to invalid object

".com%5D%20MJ%2069ptsGameDVDRip/". Action Taken: No Action Taken.

Wed Jan 18 12:01:15 2006 => Entry

"HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\FileExts" refers to invalid object

".com%5D/". Action Taken: No Action Taken.

Wed Jan 18 12:01:15 2006 => Entry

"HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\FileExts" refers to invalid object

".com/". Action Taken: No Action Taken.

Wed Jan 18 12:01:16 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p

Management\ARPCache" refers to invalid object "{611CD802-60A6-4D75-8781-C3AC19573D79}".

Action Taken: No Action Taken.

Wed Jan 18 12:01:16 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Ap p

Management\ARPCache" refers to invalid object "{A788308B-6C10-4343-8D50-D9F040126457}".

Action Taken: No Action Taken.

Wed Jan 18 12:01:24 2006 => Entry "HKCR\Registry Bookmarks\shell\open\command" refers to

invalid object "C:\Archivos de programa\Greatis\RegRunSuite\regrun2.exe %1". Action Taken:

No Action Taken.


Gracias.

Bien, vamos a intentar con los antivirus que han detectado la infección.

Descarga la versión de prueba de alguno de estos antivirus y ejecútalo en Modo a Prueba de Fallos

• Antivir
• Avira
• Dr. Web

Si no se logra desinfectar con estos antivirus, pegas sus reportes.

Luego de la desinfección te recomiendo instalar un firewall para evitar nuevamente la infección.

Ya nos contarás como te fue.

Saludos

PDTA: Verifica que no tengas instalado algún keylogger.

Buenas noches,

Tal y como me indicastes en el último @, he instalado y pasado alguno de los antivirus mencionados. He pasado el DrWeb y a continuación pego reporte (de los elementos extraños):

C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcDog.exe probablemente infectado con BACKDOOR.Trojan
C:\System Volume Information\_restore{41F5DDD7-5EBB-4361-8736-B1878B493883}\RP1\A0003069.exe probablemente infectado con BACKDOOR.Trojan
C:\System Volume Information\_restore{41F5DDD7-5EBB-4361-8736-B1878B493883}\RP1\A0003138.EXE probablemente infectado con WIN.MAIL.WORM.Virus
C:\System Volume Information\_restore{41F5DDD7-5EBB-4361-8736-B1878B493883}\RP1\A0003145.EXE probablemente infectado con BACKDOOR.Trojan
C:\System Volume Information\_restore{41F5DDD7-5EBB-4361-8736-B1878B493883}\RP1\A0003320.exe probablemente infectado con BACKDOOR.Trojan
C:\WINDOWS\system32:olaa.dll infectado con Trojan.DownLoader.2511 – eliminado
C:\WINDOWS\Temp\JL7E3C.EXE probablemente infectado con BACKDOOR.Trojan
C:\WINDOWS\Temp\RVD608.EXE probablemente infectado con BACKDOOR.Trojan

No he eliminado ninguno más de los que se indican. Debo volver a pasar el antivirus y eliminar los que me indica? Tb el del trendmicro?

Qué es un keylogger?

Pego tb el log del hijack:

Logfile of HijackThis v1.99.1
Scan saved at 20:44:33, on 24/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\ARCHIV~1\ACCESO~1\Ghost\GHOSTS~2.EXE
C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\MIA8C.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\cidaemon.exe
C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe
D:\Documentos\Miquel\Programes i PC\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar2.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Búsqueda en Google - res://c:\windows\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\windows\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\windows\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://c:\windows\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\windows\GoogleToolbar2.dll/cmbacklinks.html
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D4B106C-5945-4FAE-8814-C40258AAEBC2}: NameServer = 130.206.42.224,130.206.42.227
O17 - HKLM\System\CCS\Services\Tcpip\..\{4DF60A11-C9B4-414A-83B1-349BF56C9F17}: NameServer = 130.206.42.224,195.235.113.3,130.206.42.227
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: GhostStartService - Symantec Corporation - C:\ARCHIV~1\ACCESO~1\Ghost\GHOSTS~2.EXE
O23 - Service: Exploración en tiempo real de OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: Cortafuegos de OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe

Gracias.

Puedes verificar en este enlace.

El caso es muy raro, pero con las evidencias que nos haz presentado vamos a realizar lo siguiente:

- Apaga el "Restaurar Sistema"

- Activa la opción Ver Archivos Ocultos

- Reinicia en Modo a Prueba de Fallos

- Desinstala el Trend Micro.

- Busca y elimina estos archivos, si aún los encuentras, si no se dejan eliminar descarga el programa "Killbox" y sigue las indicaciones del mensaje, copia y pega los archivos para que los elimine al reiniciar.

C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcDog.exe

C:\WINDOWS\Temp\JL7E3C.EXE

C:\WINDOWS\Temp\RVD608.EXE

C:\WINDOWS\TEMP\MIA8C.EXE

- De preferencia elimina todo lo que se encuentra dentro de la carpeta C:\WINDOWS\TEMP\

- Pasa el Disk Cleaner para limpiar cookies y temporales, marca todas las opciones.

- Pasa el Regseeker para Limpiar el Registro, pásalo hasta q no quede nada para eliminar.

- Reinicia en Modo Normal y verifica los resultados.

- Activa el firewall como te recomendé.

Ya nos contarás como te fue.

Saludos