Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Ante todo quiero darles las gracias por anticipado, ya que es la primera vez que posteo aqui.
Tengo el siguiente problema, al iniciar winxp pro, el troyano abre paginas web aleatorias de anuncios de todo tipo, desde coches a casinos, de vez en cuando en vez de abrir la pagina en el navegador (firefox 1.5) salta una especie de anuncio en flash o algo similar.
He pasado infinidad de veces el spybot y el ad-aware, los dos debidamente actualizados, pero no hay manera.
Adjunto el log del hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 19:23:52, on 22/01/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\MSmedia.exe
C:\Archivos de programa\Network Monitor\netmon.exe
C:\Archivos de programa\Promise Technology, Inc\Promise Array Management\MsgAgt.exe
C:\WINDOWS\shost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EX E
C:\WINDOWS\System32\CTHELPER.EXE
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE
C:\Archivos de programa\Conceptronic\Bluetooth Software\BTTray.exe
C:\ARCHIV~1\CONCEP~1\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
F:\antiv\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: 65.19.154.99 www.halifax-online.co.uk
O1 - Hosts: 65.19.154.99 ibank.barclays.co.uk
O1 - Hosts: 65.19.154.99 online.lloydstsb.co.uk
O1 - Hosts: 65.19.154.99 online-business.lloydstsb.co.uk
O1 - Hosts: 65.19.154.99 www.ukpersonal.hsbc.co.uk
O1 - Hosts: 65.19.154.99 banesnet.banesto.es
O1 - Hosts: 65.19.154.99 extranet.banesto.es
O1 - Hosts: 65.19.154.99 ebanking.bccbrescia.it
O1 - Hosts: 65.19.154.99 www.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 65.19.154.99 oi.cajamadrid.es
O1 - Hosts: 65.19.154.99 bancae.caixapenedes.com
O1 - Hosts: 65.19.154.99 banking.postbank.de
O1 - Hosts: 65.19.154.99 meine.deutsche-bank.de
O1 - Hosts: 65.19.154.99 myonlineaccounts2.abbeynational.co.uk
O1 - Hosts: 65.19.154.99 ibank.cahoot.com
O1 - Hosts: 65.19.154.99 webbank.openplan.co.uk
O1 - Hosts: 65.19.154.99 bancopostaonline.poste.it
O1 - Hosts: 65.19.154.99 mybank.bybank.it
O1 - Hosts: 65.19.154.99 ibank.internationalbanking.barclays.com
O1 - Hosts: 65.19.154.99 welcome7.co-operativebank.co.uk
O1 - Hosts: 65.19.154.99 welcome11.co-operativebankonline.co.uk
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\System32\ddaya.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EX E
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Archivos de programa\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [PcSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DVB-T QuickTV.lnk = C:\Archivos de programa\AVerTV DVB-T USB2.0\AVerQT.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: ddaya - C:\WINDOWS\SYSTEM32\ddaya.dll
O20 - Winlogon Notify: Telephony - C:\WINDOWS\system32\o4lu0e39eh.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe
O23 - Service: Network Monitor - Unknown owner - C:\Archivos de programa\Network Monitor\netmon.exe
O23 - Service: Promise Array Message Agent (RAIDmAgt) - Unknown owner - C:\Archivos de programa\Promise Technology, Inc.\Promise Array Management\MsgAgt.exe
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe


Saludos y muchas gracias de nuevo

Hola Vorkosigan, te doy la bienvenida al Foro de InfoSpyware.

Paso 1- Apaga el "Restaurar Sistema"

Paso 2- Descarga estas herramientas pero no las ejecutes aun:

• Ewido Security Suite 3.5
• Spy Sweeper 4.5

Paso 3- Reinicia eh inicia en "Modo a prueba de fallos" (modo seguro)

Inicio > Ejecutar > y ahi pones sc delete ServiceHost y OK.


Paso 4- Con todos los programas cerrados ejecuta HijackThis y dale "FIX Cheked" a estas entradas:

O1 - Hosts: 65.19.154.99 www.halifax-online.co.uk
O1 - Hosts: 65.19.154.99 ibank.barclays.co.uk
O1 - Hosts: 65.19.154.99 online.lloydstsb.co.uk
O1 - Hosts: 65.19.154.99 online-business.lloydstsb.co.uk
O1 - Hosts: 65.19.154.99 www.ukpersonal.hsbc.co.uk
O1 - Hosts: 65.19.154.99 banesnet.banesto.es
O1 - Hosts: 65.19.154.99 extranet.banesto.es
O1 - Hosts: 65.19.154.99 ebanking.bccbrescia.it
O1 - Hosts: 65.19.154.99 www.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 65.19.154.99 oi.cajamadrid.es
O1 - Hosts: 65.19.154.99 bancae.caixapenedes.com
O1 - Hosts: 65.19.154.99 banking.postbank.de
O1 - Hosts: 65.19.154.99 meine.deutsche-bank.de
O1 - Hosts: 65.19.154.99 myonlineaccounts2.abbeynational.co.uk
O1 - Hosts: 65.19.154.99 ibank.cahoot.com
O1 - Hosts: 65.19.154.99 webbank.openplan.co.uk
O1 - Hosts: 65.19.154.99 bancopostaonline.poste.it
O1 - Hosts: 65.19.154.99 mybank.bybank.it
O1 - Hosts: 65.19.154.99 ibank.internationalbanking.barclays.com
O1 - Hosts: 65.19.154.99 welcome7.co-operativebank.co.uk
O1 - Hosts: 65.19.154.99 welcome11.co-operativebankonline.co.uk
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\System32\ddaya.dll

O20 - Winlogon Notify: ddaya - C:\WINDOWS\SYSTEM32\ddaya.dll
O20 - Winlogon Notify: Telephony - C:\WINDOWS\system32\o4lu0e39eh.dll

O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe

O23 - Service: Network Monitor - Unknown owner - C:\Archivos de programa\Network Monitor\netmon.exe

O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe




Paso 5- Sin reiniciar con el programa "KillBox" elimina estos archivos:

C:\WINDOWS\SYSTEM32\ddaya.dll
C:\WINDOWS\system32\o4lu0e39eh.dll
C:\WINDOWS\MSmedia.exe
C:\WINDOWS\shost.exe



Paso 6- Ejecuta las herramientas de a una:

• Spy Sweeper 4.5
• Ewido Security Suite 3.5

Paso 7- Reinicia y hacele un escaneo online con "Panda ActiveScan Online"

Paso 8- Usa el Disk Cleaner para limpiar cookies y temporales y RegSeeker para limpiar el registro de Win.

Reinicia y nos contas los resultados.

Salu2

Me temo que sigo con el mismo problema.
Hice todo lo que me dijo en su mensaje, pero tuve un problema con el Killbox, al intentar eliminar C:\WINDOWS\MSmedia.exe me indico que no se podia eliminar el archivo.Segui con el resto de los pasos, y al reiniciar me aparecion la siguiente ventana: RUNDLL: ha ocurrido una excepcion al intentar ejecutar c:\WINDOWS\system32\pmdx5016.dll",Dll GetVersion" y tambien en otro reinicio: RUNDLL: ha ocurrido una excepcion al intentar ejecutar c:\WINDOWS\system32\sgnsapi.dll",Dll GetVersion"
Sigue el mismo problema de apertura de paginas y flash de publicidad, pero en el administrador de tareas de windows ya no aparece activo el msmedia.exe.
Adjunto el nuevo log del Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 12:18:47, on 23/01/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EX E
C:\WINDOWS\System32\CTHELPER.EXE
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE
C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
C:\Archivos de programa\ewido anti-malware\ewidoguard.exe
C:\Archivos de programa\Promise Technology, Inc\Promise Array Management\MsgAgt.exe
C:\Archivos de programa\Conceptronic\Bluetooth Software\BTTray.exe
C:\WINDOWS\System32\svchost.exe
C:\ARCHIV~1\CONCEP~1\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
F:\antiv\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: ATLDistrib Object - {4A85F02A-CCD3-4E96-9BB1-7ACE7D0B9C23} - C:\WINDOWS\System32\jkkjk.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EX E
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Archivos de programa\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [PcSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DVB-T QuickTV.lnk = C:\Archivos de programa\AVerTV DVB-T USB2.0\AVerQT.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\kt20l7fm1.dll
O20 - Winlogon Notify: jkkjk - C:\WINDOWS\System32\jkkjk.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Promise Array Message Agent (RAIDmAgt) - Unknown owner - C:\Archivos de programa\Promise Technology, Inc.\Promise Array Management\MsgAgt.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe

Saludos y muchas gracias

Hola, es importante que pases el programa Spy Sweeper 4.5 en modo a prueba de fallos y Ewido Anti-Malware.

Despues de reiniciar nos dejas un nuevo log.

Salu2

He tenido un problema, el spy sweeper no lo he conseguido pasar, ya que cada vez que lo intento, aparece una ventana de error que indica que el programa ha fallado, y da 3 opciones: seguir, reiniciar, cerrar. No importa que opcion le de, ya que sigue sin funcionar. Lo he bajado varias veces, he intentado bajarlo desde otra web que no sea la de webroot, pero no lo he encontrado en otra parte, incluso he buscado una version anterior, pero sin suerte.La version que tengo es la 4.5.7
Por otro lado el ewido anti-malware, ha funcionado correctamente y en el ultimo escaneo ha encontrado 6 objetos (que ha eliminado), pero al reiniciar sigue el mismo problema.
Aqui va el log:

Logfile of HijackThis v1.99.1
Scan saved at 16:51:00, on 24/01/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EX E
C:\WINDOWS\System32\CTHELPER.EXE
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE
C:\Archivos de programa\Conceptronic\Bluetooth Software\BTTray.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\ARCHIV~1\CONCEP~1\BLUETO~1\BTSTAC~1.EXE
C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
C:\Archivos de programa\ewido anti-malware\ewidoguard.exe
C:\Archivos de programa\Promise Technology, Inc\Promise Array Management\MsgAgt.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
F:\antiv\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: ATLDistrib Object - {4A85F02A-CCD3-4E96-9BB1-7ACE7D0B9C23} - C:\WINDOWS\System32\jkkjk.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EX E
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Archivos de programa\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [PcSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DVB-T QuickTV.lnk = C:\Archivos de programa\AVerTV DVB-T USB2.0\AVerQT.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: jkkjk - C:\WINDOWS\System32\jkkjk.dll
O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\hrn4055qe.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Promise Array Message Agent (RAIDmAgt) - Unknown owner - C:\Archivos de programa\Promise Technology, Inc.\Promise Array Management\MsgAgt.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe

La verdad es que estoy ya bastante desesperado,

Saludos y gracias

Bien vamos a probar con otra herramienta aunque seria mejor usar Spy Sweeper.

Descarga la herramienta L2mfix

Guarda el archivo en el escritorio y hacele doble click en l2mfix.exe. Hace click en el botón Install para extraer los archivos y seguí las indicaciones. A continuación abrí la carpeta l2mfix que acaba de crearse en tu escritorio. Hacele doble click en l2mfix.bat y elegí la opción número 1 para ejecutar "Run Find Log" (Crear informe de búsqueda) pulsando 1 y >Enter. A continuación se realizará un análisis de tu sistema aunque puede parecer que no está sucediendo nada.

una vez que este termine abris HijackThis y le das FIX a estas entradas:

O2 - BHO: ATLDistrib Object - {4A85F02A-CCD3-4E96-9BB1-7ACE7D0B9C23} - C:\WINDOWS\System32\jkkjk.dll

O20 - Winlogon Notify: jkkjk - C:\WINDOWS\System32\jkkjk.dll
O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\hrn4055qe.dll

Después cerrar cualquier programa que tengas abierto ya que después de realizar estos pasos se va a reiniciar el sistema.

En la carpeta de l2mfix de tu escritorio hacele doble click en l2mfix.bat y selecciona la opción numero 2 (Run Fix) y dale Enter y luego cualquier tecla para que se reinicie el sistema.

Después que reinicie el Pc puede que los iconos y parte del escritorio no se vean (esto es normal). L2mfix continuará explorando el sistema y cuando termine se abre nuevamente el Notepad con un nuevo registro el cual tenes que pegarlo en este mensaje.

Reinicia y contanos como esta funcionado todo ahora.

Salu2

¡De momento parece que ha funcionado!

L2mfix 010406
Creating Account.
Se ha completado el comando correctamente.

Adding Administrative privleges.
Checking for L2MFix account(0=no 1=yes):
1
Granting SeDebugPrivilege to L2MFIX ... successful

Running From:
C:\WINDOWS\system32

Killing Processes!

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 700 'smss.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 796 'winlogon.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1820 'explorer.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1572 'rundll32.exe'
Restoring Sedebugprivilege:

Scanning First Pass. Please Wait!

First Pass Completed

Second Pass Scanning

Second pass Completed!
1 archivos copiados.
1 archivos copiados.
1 archivos copiados.
1 archivos copiados.
1 archivos copiados.
1 archivos copiados.
1 archivos copiados.
1 archivos copiados.
1 archivos copiados.
1 archivos copiados.
1 archivos copiados.
1 archivos copiados.
Deleting: C:\WINDOWS\system32\g2400chmef4a0.dll
Successfully Deleted: C:\WINDOWS\system32\g2400chmef4a0.dll
Deleting: C:\WINDOWS\system32\ir06l5ds1.dll
Successfully Deleted: C:\WINDOWS\system32\ir06l5ds1.dll
Deleting: C:\WINDOWS\system32\irnml5511.dll
Successfully Deleted: C:\WINDOWS\system32\irnml5511.dll
Deleting: C:\WINDOWS\system32\jt2m07f1e.dll
Successfully Deleted: C:\WINDOWS\system32\jt2m07f1e.dll
Deleting: C:\WINDOWS\system32\k8440ihqe84e0.dll
Successfully Deleted: C:\WINDOWS\system32\k8440ihqe84e0.dll
Deleting: C:\WINDOWS\system32\md43dmod.dll
Successfully Deleted: C:\WINDOWS\system32\md43dmod.dll
Deleting: C:\WINDOWS\system32\mmdocs.dll
Successfully Deleted: C:\WINDOWS\system32\mmdocs.dll
Deleting: C:\WINDOWS\system32\n6n60g5se6.dll
Successfully Deleted: C:\WINDOWS\system32\n6n60g5se6.dll
Deleting: C:\WINDOWS\system32\nxtui0.dll
Successfully Deleted: C:\WINDOWS\system32\nxtui0.dll
Deleting: C:\WINDOWS\system32\qsap.dll
Successfully Deleted: C:\WINDOWS\system32\qsap.dll
Deleting: C:\WINDOWS\system32\sadoclc.dll
Successfully Deleted: C:\WINDOWS\system32\sadoclc.dll
Deleting: C:\WINDOWS\system32\sgclogon.dll
Successfully Deleted: C:\WINDOWS\system32\sgclogon.dll

msg11?.dll
0 archivos copiados.



Restoring Windows Update Certificates.:

The following Is the Current Export of the Winlogon notify key:
************************************************** **************************
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33, 00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e, 00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkjk]
"Asynchronous"=dword:00000001
"DllName"="C:\\WINDOWS\\System32\\jkkjk.dll"
"Impersonate"=dword:00000000
"Startup"="SysLogon"
"Logoff"="SysLogoff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RunServices]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\ir06l5ds1.dl l"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69, 00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74, 00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69, 00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEven t"
"Logoff"="UnregisterTicketExpiredNotificationEvent "
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WRNotifier]
"Asynchronous"=dword:00000000
"DllName"="WRLogonNTF.dll"
"Impersonate"=dword:00000001
"Lock"="WRLock"
"StartScreenSaver"="WRStartScreenSaver"
"StartShell"="WRStartShell"
"Startup"="WRStartup"
"StopScreenSaver"="WRStopScreenSaver"
"Unlock"="WRUnlock"
"Shutdown"="WRShutdown"
"Logoff"="WRLogoff"
"Logon"="WRLogon"


The following are the files found:
************************************************** **************************
C:\WINDOWS\system32\g2400chmef4a0.dll
C:\WINDOWS\system32\ir06l5ds1.dll
C:\WINDOWS\system32\irnml5511.dll
C:\WINDOWS\system32\jt2m07f1e.dll
C:\WINDOWS\system32\k8440ihqe84e0.dll
C:\WINDOWS\system32\md43dmod.dll
C:\WINDOWS\system32\mmdocs.dll
C:\WINDOWS\system32\n6n60g5se6.dll
C:\WINDOWS\system32\nxtui0.dll
C:\WINDOWS\system32\qsap.dll
C:\WINDOWS\system32\sadoclc.dll
C:\WINDOWS\system32\sgclogon.dll

Registry Entries that were Deleted:
Please verify that the listing looks ok.
If there was something deleted wrongly there are backups in the backreg folder.
************************************************** **************************
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{8585B024-54E0-4322-AD73-B597F80843F2}]
@=""
"IDEx"="ADDR"

[HKEY_CLASSES_ROOT\CLSID\{8585B024-54E0-4322-AD73-B597F80843F2}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{8585B024-54E0-4322-AD73-B597F80843F2}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{8585B024-54E0-4322-AD73-B597F80843F2}\InprocServer32]
@="C:\\WINDOWS\\system32\\dMdxof.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{8FADC5E4-4D4B-4EEF-8070-4D73313F698C}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{8FADC5E4-4D4B-4EEF-8070-4D73313F698C}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{8FADC5E4-4D4B-4EEF-8070-4D73313F698C}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{8FADC5E4-4D4B-4EEF-8070-4D73313F698C}\InprocServer32]
@="C:\\WINDOWS\\system32\\mmdocs.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{C66A03D0-4D54-47DA-9E51-8B744762BB42}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{C66A03D0-4D54-47DA-9E51-8B744762BB42}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{C66A03D0-4D54-47DA-9E51-8B744762BB42}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{C66A03D0-4D54-47DA-9E51-8B744762BB42}\InprocServer32]
@="C:\\WINDOWS\\system32\\kxdsf.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{25A0D7B0-22B9-4B23-A262-37BE6138575D}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{25A0D7B0-22B9-4B23-A262-37BE6138575D}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{25A0D7B0-22B9-4B23-A262-37BE6138575D}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{25A0D7B0-22B9-4B23-A262-37BE6138575D}\InprocServer32]
@="C:\\WINDOWS\\system32\\nxtui0.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{8947E66A-8363-4430-89F0-966CF8C9D695}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{8947E66A-8363-4430-89F0-966CF8C9D695}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{8947E66A-8363-4430-89F0-966CF8C9D695}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{8947E66A-8363-4430-89F0-966CF8C9D695}\InprocServer32]
@="C:\\WINDOWS\\system32\\md43dmod.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{2BC35177-6BFA-4715-AB26-BF032263F40C}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{2BC35177-6BFA-4715-AB26-BF032263F40C}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{2BC35177-6BFA-4715-AB26-BF032263F40C}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{2BC35177-6BFA-4715-AB26-BF032263F40C}\InprocServer32]
@="C:\\WINDOWS\\system32\\qsap.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{BBCF100F-14AD-46D3-BDCF-2C15E2F8FE19}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{BBCF100F-14AD-46D3-BDCF-2C15E2F8FE19}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{BBCF100F-14AD-46D3-BDCF-2C15E2F8FE19}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{BBCF100F-14AD-46D3-BDCF-2C15E2F8FE19}\InprocServer32]
@="C:\\WINDOWS\\system32\\sgclogon.dll"
"ThreadingModel"="Apartment"

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Shell Extensions\Approved]
"{8585B024-54E0-4322-AD73-B597F80843F2}"=-
"{8FADC5E4-4D4B-4EEF-8070-4D73313F698C}"=-
"{D8E7AA3F-49F7-408A-9441-23788D5DA22A}"=-
"{C66A03D0-4D54-47DA-9E51-8B744762BB42}"=-
"{25A0D7B0-22B9-4B23-A262-37BE6138575D}"=-
"{8947E66A-8363-4430-89F0-966CF8C9D695}"=-
"{2BC35177-6BFA-4715-AB26-BF032263F40C}"=-
"{BBCF100F-14AD-46D3-BDCF-2C15E2F8FE19}"=-
[-HKEY_CLASSES_ROOT\CLSID\{8585B024-54E0-4322-AD73-B597F80843F2}]
[-HKEY_CLASSES_ROOT\CLSID\{8FADC5E4-4D4B-4EEF-8070-4D73313F698C}]
[-HKEY_CLASSES_ROOT\CLSID\{D8E7AA3F-49F7-408A-9441-23788D5DA22A}]
[-HKEY_CLASSES_ROOT\CLSID\{C66A03D0-4D54-47DA-9E51-8B744762BB42}]
[-HKEY_CLASSES_ROOT\CLSID\{25A0D7B0-22B9-4B23-A262-37BE6138575D}]
[-HKEY_CLASSES_ROOT\CLSID\{8947E66A-8363-4430-89F0-966CF8C9D695}]
[-HKEY_CLASSES_ROOT\CLSID\{2BC35177-6BFA-4715-AB26-BF032263F40C}]
[-HKEY_CLASSES_ROOT\CLSID\{BBCF100F-14AD-46D3-BDCF-2C15E2F8FE19}]
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\User Agent\Post Platform]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""
************************************************** **************************
Desktop.ini Contents:
************************************************** **************************

************************************************** **************************
Checking for L2MFix account(0=no 1=yes):
0
Zipping up files for submission:
adding: dlls/g2400chmef4a0.dll (164 bytes security) (deflated 5%)
adding: dlls/ir06l5ds1.dll (164 bytes security) (deflated 4%)
adding: dlls/irnml5511.dll (164 bytes security) (deflated 6%)
adding: dlls/jt2m07f1e.dll (164 bytes security) (deflated 5%)
adding: dlls/k8440ihqe84e0.dll (164 bytes security) (deflated 5%)
adding: dlls/md43dmod.dll (164 bytes security) (deflated 5%)
adding: dlls/mmdocs.dll (164 bytes security) (deflated 4%)
adding: dlls/n6n60g5se6.dll (164 bytes security) (deflated 5%)
adding: dlls/nxtui0.dll (164 bytes security) (deflated 4%)
adding: dlls/qsap.dll (164 bytes security) (deflated 5%)
adding: dlls/sadoclc.dll (164 bytes security) (deflated 5%)
adding: dlls/sgclogon.dll (164 bytes security) (deflated 5%)
adding: backregs/25A0D7B0-22B9-4B23-A262-37BE6138575D.reg (212 bytes security) (deflated 70%)
adding: backregs/2BC35177-6BFA-4715-AB26-BF032263F40C.reg (212 bytes security) (deflated 70%)
adding: backregs/8585B024-54E0-4322-AD73-B597F80843F2.reg (212 bytes security) (deflated 69%)
adding: backregs/8947E66A-8363-4430-89F0-966CF8C9D695.reg (212 bytes security) (deflated 70%)
adding: backregs/8FADC5E4-4D4B-4EEF-8070-4D73313F698C.reg (212 bytes security) (deflated 70%)
adding: backregs/BBCF100F-14AD-46D3-BDCF-2C15E2F8FE19.reg (212 bytes security) (deflated 70%)
adding: backregs/C66A03D0-4D54-47DA-9E51-8B744762BB42.reg (212 bytes security) (deflated 70%)
adding: backregs/notibac.reg (164 bytes security) (deflated 79%)
adding: backregs/shell.reg (164 bytes security) (deflated 73%)

Adjunto tambien el log del hijackthis por si acaso:

Logfile of HijackThis v1.99.1
Scan saved at 14:35:14, on 26/01/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EX E
C:\WINDOWS\System32\CTHELPER.EXE
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE
C:\Archivos de programa\Conceptronic\Bluetooth Software\BTTray.exe
C:\ARCHIV~1\CONCEP~1\BLUETO~1\BTSTAC~1.EXE
C:\Archivos de programa\Promise Technology, Inc\Promise Array Management\MsgAgt.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
F:\antiv\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: ATLDistrib Object - {4A85F02A-CCD3-4E96-9BB1-7ACE7D0B9C23} - C:\WINDOWS\System32\jkkjk.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EX E
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Archivos de programa\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [PcSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DVB-T QuickTV.lnk = C:\Archivos de programa\AVerTV DVB-T USB2.0\AVerQT.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: jkkjk - C:\WINDOWS\System32\jkkjk.dll
O20 - Winlogon Notify: RunServices - C:\WINDOWS\system32\ir06l5ds1.dll (file missing)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Promise Array Message Agent (RAIDmAgt) - Unknown owner - C:\Archivos de programa\Promise Technology, Inc.\Promise Array Management\MsgAgt.exe

Aunque al ver el log del hijackthis veo que aun estan 2 de las entradas que deberian estar eliminadas ya del jkkjk.dll

Saludos y gracias!!

mmmm si parece que casi funciono pero todavia sigue ahi el malware

Proba los mismos pasos pero en lugar de usar L2Mfix vamos a usar otra herramienta llamada VirtumundoBegone

Hace todo lo mismo y dale FIX a las mismas entradas con HijackThis.

Salu2

Tras usar el VirtumundoBegone, ha desaparecido el archivo jkkjk.dll, pero la linea siguiente aun aparece:

O2 - BHO: (no name) - {4A85F02A-CCD3-4E96-9BB1-7ACE7D0B9C23} - (no file)

Como es igual que la linea que me dijo que habia que marcar anteriormente pero sin el jkkjk.dll, la marque para el fix.
Al eliminarla, reinicie de nuevo el pc, y pase de nuevo el hijackthis, encontrandome que volvia a aparecer:

Logfile of HijackThis v1.99.1
Scan saved at 15:04:36, on 27/01/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Promise Technology, Inc\Promise Array Management\MsgAgt.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EX E
C:\WINDOWS\System32\CTHELPER.EXE
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE
C:\Archivos de programa\Messenger\MSMSGS.EXE
C:\Archivos de programa\Conceptronic\Bluetooth Software\BTTray.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\ARCHIV~1\CONCEP~1\BLUETO~1\BTSTAC~1.EXE
F:\antiv\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {4A85F02A-CCD3-4E96-9BB1-7ACE7D0B9C23} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EX E
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Archivos de programa\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [PcSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DVB-T QuickTV.lnk = C:\Archivos de programa\AVerTV DVB-T USB2.0\AVerQT.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: RunServices - C:\WINDOWS\system32\ir06l5ds1.dll (file missing)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Promise Array Message Agent (RAIDmAgt) - Unknown owner - C:\Archivos de programa\Promise Technology, Inc.\Promise Array Management\MsgAgt.exe

El maldito malware parece que se resiste a desaparecer

Saludos y gracias

Proba hacer todos los pasos nuevamente pero esta vez desintala caulquier programa de proteccion que tengas en memoria como el Spybot o cualquier otro que puedan estar bloqueando las modificaciones manuales.

No solo esta esa entrada, sino que tambien esta la entrada

O20 - Winlogon Notify: RunServices - C:\WINDOWS\system32\ir06l5ds1.dll (file missing)

Podes probar con los pasos de este mensaje AQUI

Salu2