Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola a todos:
He tratado con todo lo que he encontrado para borrar los famosos virus, al parecer tengo 2 virus:
1) Common Hijacker
2) IgetNet

Pero son casi imposibles de eliminar. No puedo bajar mis email, se me abre cada 3 minutos aprox. www.loadingwebsite.com y otras estupideces.

Bueno, ahora estoy siguiendo los pasos de esta página para borrarlos.
aquí les dejo la información que me arrojó el HijackerThis
************************************************** **
Logfile of HijackThis v1.99.1
Scan saved at 17:28:33, on 05-04-05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\ESCRITORIO\ANTI SPYBOT VARIOS\HIJACKTHIS.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.cl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft LirolDey Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - _{0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [PTSNOOP] ptsnoop.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MemDefrag] C:\ARCHIVOS DE PROGRAMA\MEMDEFRAG\MDEFRAG.EXE
O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [a-winpoet-service] "C:\Archivos de programa\WinPoET\winpppoverethernet.exe"
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\WINDOWS\SYSTEM\CnxDslTb.exe"
O4 - HKLM\..\RunServices: [Apache] "C:\APPSERV\APACHE\APACHE.EXE" -k start -n Apache
O4 - HKLM\..\RunServices: [kavsvc] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O4 - HKLM\..\RunServices: [MSDTC] msdtcw -start
O4 - HKCU\..\Run: [Use My Stylesheet]

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Decompiler - C:\Archivos de programa\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm
O8 - Extra context menu item: &Google Search - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Instantánea de caché de la página - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Páginas similares - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Descargas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - C:\WINDOWS\SYSTEM\SHDOCVW.DLL
O9 - Extra button: SWFDecompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Archivos de programa\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Decompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Archivos de programa\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Archivos de programa\IrfanView\Ebay\Ebay.htm
O12 - Plugin for .pdf: C:\ARCHIV~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binaries/IA/netslv32_ES.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

Espero que me puedan ayudar, estoy desesperado.
Un saludo a todos los genios que ayudan aquí
Adiós.

Hola

Bueno, veamos ese reporte.

Recuerda seguir estos pasos para la reparación.

1. Ver los archivos ocultos de tu sistema
2. Iniciar el sistema en el modo «a prueba de fallos» o «modo seguro»

Deberás marcar estas líneas en el Hijackthis para reparar:

• R3 - URLSearchHook: (no name) - _{0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
• O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binaries/IA/netslv32_ES.cab

Después de haber hecho esas reparaciones, no estaría de más que ejecutaras estas otras aplicaciones por si se le ha pasado algo al HijackThis:

• Cwshredder
• Ad-aware SE
• Disck Cleaner
• Spybot Search and Destroy
• RegSeeker. De este programa deberás usar principalmente la opción de «limpiar el registro»

¿se queda tu cursor "pegado" en alguna parte de la pantalla y pierdes su control hasta que reinicias?.

Si tienes un firewall, revisa si alguien se conecta una de estas páginas:
http://setway.cjb.net
http://setway1.cjb.net
http://setone.cjb.net

Tras estos pasos y reparaciones, cuéntanos como evoluciona el tema.

Felicidad

Hola
Seguí al pie de la letra todos los procedimientos pero el virus sigue actuando igual, pasé el RegSeeker 10 veces hasta que no mostró nada.

Algunos síntomas son:
-al momento de cargar windows 98se me pide conexión a internet para el virus (me imagino)
-El virus se abre tanto con Explorer como con Firefox (mostrando páginas de publicidad).
-Noto que al borrar un archivo se queda pegado por algunos segundos, lo mismo pasa para crear una carpeta, los tiempos han aumentado, tal vez no sea el virus pero si a cambiado esto.
**************************************************
Lo único que me falta sería llevar mi computador a quimioterapia
MUCHAS GRACIAS POR EL TIEMPO Y LA PACIENCIA CONMIGO

así está la cosa ahora.
**************************************************

Logfile of HijackThis v1.99.1
Scan saved at 10:43:41, on 06-04-05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\ESCRITORIO\ANTI SPYBOT VARIOS\HIJACKTHIS.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.cl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft LirolDey Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [MemDefrag] C:\ARCHIVOS DE PROGRAMA\MEMDEFRAG\MDEFRAG.EXE
O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [a-winpoet-service] "C:\Archivos de programa\WinPoET\winpppoverethernet.exe"
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\WINDOWS\SYSTEM\CnxDslTb.exe"
O4 - HKLM\..\Run: [PTSNOOP] ptsnoop.exe
O4 - HKLM\..\RunServices: [Apache] "C:\APPSERV\APACHE\APACHE.EXE" -k start -n Apache
O4 - HKLM\..\RunServices: [kavsvc] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O4 - HKLM\..\RunServices: [MSDTC] msdtcw -start
O4 - HKCU\..\Run: [Use My Stylesheet]

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Decompiler - C:\Archivos de programa\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm
O8 - Extra context menu item: &Google Search - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Instantánea de caché de la página - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Páginas similares - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Descargas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - C:\WINDOWS\SYSTEM\SHDOCVW.DLL
O9 - Extra button: SWFDecompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Archivos de programa\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Decompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Archivos de programa\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Archivos de programa\IrfanView\Ebay\Ebay.htm
O12 - Plugin for .pdf: C:\ARCHIV~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

Muchas gracias por la paciencia nuevamente.

Bien, antes de seguir tomaremos otra estrategia:

- Escanea el sistema con un par de antivirus, siguiendo los pasos que ahí aparecen.

Luego de eso vuelves a tomar un log de HijackThis y nos lo dejas.

Saludos.

Hola sifue todo igual ::todomal:
ayer pasé algunos antivirus online y no detectan nada, (solo me recuerdan cuantos archivos tengo al pasar por las carpetas) y de pasada aprovecho de borrar cosas.

Quiero aprovechar de nombrar algunas cosas que suceden en mi pc y que considero sospechosas.

Cuando lo enciendo SIEMPRE, me aparece el siguiente mensaje (haga o no cambios en la configuración)

"Espere mientras la instalación actualiza la configuración de sus archivos. Esta operación puede tardar unos minutos.
Terminada la actualización de archivos, se continúa la carga de windows"

Por otro lado por mas que yo elimine la opción de entrar identificándose como usuario siempre aparece, voy a USUARIOS en panel de control y marco la opción de "todos usan el pc y comparten los archivos o algo así" pero al momento de reiciniar allí aparece el famoso mensaje de clave de usuario.

Otra cosa es que cuando cambio el tamaño de los íconos en la barra de windows de grandes a pequeños y reordeno los íconos en el escritorio de una manera, al reiniciar vuelve todo como estaba antes.
Algo se carga antes de que cargue windows que me cambia todo lo hecho.

Acá les dejo la ensalada de hoy:
GRACIAS POR QUEMAR NEURONAS CON ESTE SU SERVIDOR
********************************************

Logfile of HijackThis v1.99.1
Scan saved at 07:48:33, on 07-04-05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\ESCRITORIO\ANTI SPYBOT VARIOS\HIJACKTHIS.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.cl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft LirolDey Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [MemDefrag] C:\ARCHIVOS DE PROGRAMA\MEMDEFRAG\MDEFRAG.EXE
O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [a-winpoet-service] "C:\Archivos de programa\WinPoET\winpppoverethernet.exe"
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\WINDOWS\SYSTEM\CnxDslTb.exe"
O4 - HKLM\..\Run: [PTSNOOP] ptsnoop.exe
O4 - HKLM\..\RunServices: [Apache] "C:\APPSERV\APACHE\APACHE.EXE" -k start -n Apache
O4 - HKLM\..\RunServices: [kavsvc] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O4 - HKLM\..\RunServices: [MSDTC] msdtcw -start
O4 - HKCU\..\Run: [Use My Stylesheet]

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Decompiler - C:\Archivos de programa\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm
O8 - Extra context menu item: &Google Search - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Instantánea de caché de la página - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Páginas similares - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Descargas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - C:\WINDOWS\SYSTEM\SHDOCVW.DLL
O9 - Extra button: SWFDecompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Archivos de programa\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Decompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Archivos de programa\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Archivos de programa\IrfanView\Ebay\Ebay.htm
O12 - Plugin for .pdf: C:\ARCHIV~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

Si no encuentro solución, quemo mi pc y vuelvo a usar mi Atari 800xl conectado al televisor.
Adiós

Hola

Bueno, veamos que podemos hacer para terminar con estos bichitos...

Veamos ese reporte

Antes de empezar con estos pasos, una par de cosillas. Veo que usas Apache ¿tienes instalado el Personal Web Server?, Además, ¿Usas SQL Server o Transaction Server en tu máquina?.

¿Está tu computadora en red? Aparte de Internet, me refiero a una intranet, casera o de oficina.

Si tras seguir los pasos que te menciono abajo tienes problemas, vuelve a renombrar los archivos. En principio, no deberías tener problemas, pero no está de más estar preparados.

Recuerda seguir estos pasos para la reparación.

1. Ver los archivos ocultos de tu sistema
2. Iniciar el sistema en el modo «a prueba de fallos» o «modo seguro»

Deberás marcar estas líneas en el Hijackthis para reparar:

• O4 - HKLM\..\Run: [PTSNOOP] ptsnoop.exe
• O4 - HKLM\..\RunServices: [MSDTC] msdtcw -start
• O4 - HKCU\..\Run: [Use My Stylesheet]
  

Si los encuentras, renombra estos archivos, no los borres aun:

• ptsnoop.exe
• Msdtcw.exe

Después de haber hecho esas reparaciones, no estaría de más que ejecutaras estas otras aplicaciones por si se le ha pasado algo al HijackThis:

• Ad-aware SE
• Disck Cleaner
• Spybot Search and Destroy
• RegSeeker. De este programa deberás usar principalmente la opción de «limpiar el registro»

¿tienes firewall y antivirus instalados? Si no es así, deberías solucionarlo, te recomiendo esta dupla:
Bitdefender Freee Edition v 7
Sygate Personal Firewall

Bueno, seguimos pendientes.

¡ 1000 !

Hola

Así están las cosas en mi atari:
Tengo instalado el AppServ v.2.5.1 con WInMySQL integrado.
Antes tenía el Personal Web Server instalado pero lo borré, además tenía el microsoft SQL también eliminado.

Solo tengo internet ADSL como conexión, no uso intranet ni nada por el estilo.
Tengo instalado el Kaspersky Antivirus Personal v.5.0.149 y hasta ahora me había salvado de muchos bichos (no así el panda que tenía antes, creo que se extinguió como sus hermanos reales, los virus entraban con toda confianza).

Si tu me recomiendas estos antivirus y firewall los probaré.
Bueno ahora me voy a seguir los pasos que me diste.
MUCHAS GRACIAS

Hola:
Seguí todos los pasos que me diste y algo he avanzado, el firewall me detecta y detiene la conexión que trata de hacer el virus vamos avanzando. pero los síntomas antes mencionados siguen igual. al inicial windows simpre me dice que está actualizando la configuración, los iconos vuelven a donde estaban, la barra de programas sigue grande, me pide conexión a internet al terminar de cargar windows, etc.

Esto me arrojó el Sygate firewall con respecto a la conexión:
File Version : 4.72.3110.1
File Description : Explorador de Windows (EXPLORER.EXE)
File Path : C:\WINDOWS\EXPLORER.EXE
Process ID : 0xFFFDB751 (Heximal) 4294817617 (Decimal)

Connection origin : local initiated
Protocol : TCP
Local Address : 200.29.52.23
Local Port : 1032
Remote Name : www.ad-w-a-r-e.com
Remote Address : 64.156.240.39
Remote Port : 80 (HTTP - World Wide Web)

Ethernet packet details:
Ethernet II (Packet Length: 64)
Destination: 20-53-52-43-00-00
Source: 44-45-53-54-00-00
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.0.. = Don't fragment: Not set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 128
Protocol: 0x6 (TCP - Transmission Control Protocol)
Header checksum: 0xcfea (Correct)
Source: 200.29.52.23
Destination: 64.156.240.39
Transmission Control Protocol (TCP)
Source port: 1032
Destination port: 80
Sequence number: 253572
Acknowledgment number: 0
Header length: 28
Flags:
0... .... = Congestion Window Reduce (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...0 .... = Acknowledgment: Not set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..1. = Syn: Set
.... ...0 = Fin: Not set
Checksum: 0x6d53 (Correct)
Data (0 Bytes)

Binary dump of the packet:
0000: 20 53 52 43 00 00 44 45 : 53 54 00 00 08 00 45 00 | SRC..DEST....E.
0010: 00 30 23 00 00 00 80 06 : EA CF C8 1D 34 17 40 9C | .0#.........4.@.
0020: F0 27 04 08 00 50 00 03 : DE 84 00 00 00 00 70 02 | .'...P........p.
0030: 20 00 53 6D 00 00 02 04 : 05 8E 01 01 04 02 00 01 | .Sm............

ultimamente un archivo rpcss.exe trata de conectarse tambien.

aquí va el log de hijackerthis
*********************
Logfile of HijackThis v1.99.1
Scan saved at 10:37:11, on 07-04-05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\ESCRITORIO\ANTI SPYBOT VARIOS\HIJACKTHIS.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.cl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft LirolDey Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [MemDefrag] C:\ARCHIVOS DE PROGRAMA\MEMDEFRAG\MDEFRAG.EXE
O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [a-winpoet-service] "C:\Archivos de programa\WinPoET\winpppoverethernet.exe"
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\WINDOWS\SYSTEM\CnxDslTb.exe"
O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [PTSNOOP] ptsnoop.exe
O4 - HKLM\..\RunServices: [Apache] "C:\APPSERV\APACHE\APACHE.EXE" -k start -n Apache
O4 - HKLM\..\RunServices: [kavsvc] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O4 - HKLM\..\RunServices: [SmcService] C:\ARCHIVOS DE PROGRAMA\SYGATE\SPF\SMC.EXE
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Decompiler - C:\Archivos de programa\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm
O8 - Extra context menu item: &Google Search - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Instantánea de caché de la página - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Páginas similares - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Descargas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - C:\WINDOWS\SYSTEM\SHDOCVW.DLL
O9 - Extra button: SWFDecompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Archivos de programa\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Decompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Archivos de programa\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Archivos de programa\IrfanView\Ebay\Ebay.htm
O12 - Plugin for .pdf: C:\ARCHIV~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

a ver que se puede hacer.

Hola

Bueno, vayamos por partes.

EL rpcss.exe es el servicio fundamental del sistema, sin embargo, este no debe acceder a internet para nada, solo escucha llamadas internas, por lo que lo puedes bloquear de forma definitiva a menos que estés en un red, entonces hay que configurar el firewall con más cuidado.

El explorer.exe tambiénlo puedes bloquear de forma definitiva.

Como regla general, solo los programas que navegan y los ftp deben aaceder a internet, luego, se puede garantizar el acceso por el puerto 80 a programas como el ad-aware, el spybot y el spywareblaster ya que ellos se actualizan por ese puerto. Pero todoas las demás cosas, pueden ser bloqueadas.

Eso es una regla general. Cada caso amerita unarevisión, pero como regla gneral, te salvará de muchas cosas.

Te recomiendo que revises el mensaje en el que hablo del archivo hosts, te descargues el que allí recomiendo y sustituyas el tuyo, luego lo marcas como solo lectura y eso te protegerá de innumerables sitios, por ejemplo, el www.ad-w-a-r-e.com.

Sobre el log, veámoslo:



Recuerda seguir estos pasos para la reparación.

1. Ver los archivos ocultos de tu sistema
2. Iniciar el sistema en el modo «a prueba de fallos» o «modo seguro»

Deberás marcar estas líneas en el Hijackthis para reparar:

• O4 - HKLM\..\Run: [PTSNOOP] ptsnoop.exe
• O9 - Extra button: Descargas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - C:\WINDOWS\SYSTEM\SHDOCVW.DLL

Si los encuentras, deberás borrar estos archivos y carpetas:

• ptsnoop.exe (deberás buscalo en tu disco)
• C:\WINDOWS\SYSTEM\SHDOCVW.DLL

Bueno, la cosa mejora.

De todas maneras, vuelve a ejecutar esto:

• Ad-aware SE
• Disck Cleaner
• Spybot Search and Destroy
• RegSeeker. De este programa deberás usar principalmente la opción de «limpiar el registro»

Me llama la atención que el reporte que mandas del sygate, es correcto, pero no aparece el firewall en el reporte del hijackthis ¿lo habías desconectado?. Tampoco vi el bitdefender, puede que esté despisatdo ahora mismo, pero es raro.

Te recomiendo que tras las ejecución de esas herramientas, hagas al menosdos de los análisis antivirus en línea; si usas el de panda, recuerda desmarcar el análisis de spyware. Si encuentran algo que no puedan eliminar, nos pegas aquí el reporte.

Estamos pendientes de tu respuesta.

Felicidad

Hola, por fin online!!!
Resulta que logré borrar el famoso archivo SHDOCVW.DLL con killbox pero windows no partió nunca mas. tuve que reinstalar win98se, ajustar algunos problemas con el adsl pero ya estoy devuelta.

**************************************************
El bitdefender encontró varios virus y me dio este reporte:
**************************************************
//-----------------------------------------------------------------
//
// BitDefender report file
//
// Created on: 07/04/2005 17:30:29
//
//-----------------------------------------------------------------


Statistics

Scan path : C:\
Folders : 5512
Files : 236470
Archives : 3382
Packed files : 22352
Identified viruses : 2
Infected files : 7
Warnings : 0
Suspect files : 0
Disinfected files : 0
Deleted files : 6
Copied files : 0
Moved files : 0
Renamed files : 0
I/O errors : 5
Scan time : 03:08:27
Scan speed (files/sec) : 20

Virus definitions : 118741
Scan plugins : 13
Archive plugins : 38
Unpack plugins : 4
Mail plugins : 6
System plugins : 1

Scan options

Detection
[X] Scan boot sectors
[X] Scan archives
[X] Scan packed files
[X] Scan email

File mask
[ ] Programs
[X] All files
[ ] User defined extensions:
[ ] Exclude extensions: ;

Action

Infected objects
[ ] Ignore
[X] Disinfect
[ ] Delete
[ ] Copy to quarantine
[ ] Move to quarantine
[ ] Rename
[ ] Prompt user

Second action
[ ] Ignore
[ ] Delete
[ ] Copy to quarantine
[X] Move to quarantine
[ ] Rename
[ ] Prompt user

Scan options
[X] Enable warnings
[X] Enable heuristics
[ ] Show all files in log
[X] Report file: vscan.log
[ ] Append to existing report

Summary:

C:\WINDOWS\whCC-MOTOR.exe=>(RAR Sfx o)=>WhAgent.exe Infected Application.Spyware.WebHancer.A
C:\WINDOWS\whCC-MOTOR.exe=>(RAR Sfx o)=>WhAgent.exe Disinfection failed
C:\WINDOWS\whCC-MOTOR.exe=>(RAR Sfx o)=>WhAgent.exe Move failed
C:\Archivos de programa\Outlook Express\Hotmail - Correo masivo.dbx=>(message 0)=>[Subject: hi][Date: Fri, 27 Feb 2004 16:18:29 -0300]=>(MIME part)=>product.pif Infected Win32.Netsky.B@mm
C:\Archivos de programa\Outlook Express\Hotmail - Correo masivo.dbx=>(message 0)=>[Subject: hi][Date: Fri, 27 Feb 2004 16:18:29 -0300]=>(MIME part)=>product.pif Deleted
C:\Archivos de programa\Outlook Express\Hotmail - Correo masivo.dbx=>(message 0)=>[Subject: hi][Date: Fri, 27 Feb 2004 16:18:29 -0300]=>(MIME part) Update
C:\Archivos de programa\Outlook Express\Hotmail - Correo masivo.dbx=>(message 0) Update
C:\Archivos de programa\Outlook Express\Hotmail - Correo masivo.dbx Update failed
C:\Archivos de programa\Outlook Express\Hotmail - Correo masivo.dbx=>(message 1)=>[Subject: fake][Date: Wed, 25 Feb 2004 1022 -0300]=>(MIME part)=>talk.zip Infected Win32.Netsky.B@mm
C:\Archivos de programa\Outlook Express\Hotmail - Correo masivo.dbx=>(message 1)=>[Subject: fake][Date: Wed, 25 Feb 2004 1022 -0300]=>(MIME part)=>talk.zip Deleted
C:\Archivos de programa\Outlook Express\Hotmail - Correo masivo.dbx=>(message 1)=>[Subject: fake][Date: Wed, 25 Feb 2004 1022 -0300]=>(MIME part) Update
C:\Archivos de programa\Outlook Express\Hotmail - Correo masivo.dbx=>(message 1) Update
C:\Archivos de programa\Outlook Express\Hotmail - Correo masivo.dbx Update failed
C:\Archivos de programa\Outlook Express\Hotmail - Correo masivo.dbx=>(message 3)=>[Subject: hi][Date: Tue, 24 Feb 2004 10:12:05 -0300]=>(MIME part)=>bill.zip Infected Win32.Netsky.B@mm
C:\Archivos de programa\Outlook Express\Hotmail - Correo masivo.dbx=>(message 3)=>[Subject: hi][Date: Tue, 24 Feb 2004 10:12:05 -0300]=>(MIME part)=>bill.zip Deleted
C:\Archivos de programa\Outlook Express\Hotmail - Correo masivo.dbx=>(message 3)=>[Subject: hi][Date: Tue, 24 Feb 2004 10:12:05 -0300]=>(MIME part) Update
C:\Archivos de programa\Outlook Express\Hotmail - Correo masivo.dbx=>(message 3) Update
C:\Archivos de programa\Outlook Express\Hotmail - Correo masivo.dbx Update failed
C:\Archivos de programa\Outlook Express\Hotmail - Elementos eliminados.dbx=>(message 1)=>[Subject: hi][Date: Tue, 24 Feb 2004 10:12:05 -0300]=>(MIME part)=>bill.zip Infected Win32.Netsky.B@mm
C:\Archivos de programa\Outlook Express\Hotmail - Elementos eliminados.dbx=>(message 1)=>[Subject: hi][Date: Tue, 24 Feb 2004 10:12:05 -0300]=>(MIME part)=>bill.zip Deleted
C:\Archivos de programa\Outlook Express\Hotmail - Elementos eliminados.dbx=>(message 1)=>[Subject: hi][Date: Tue, 24 Feb 2004 10:12:05 -0300]=>(MIME part) Update
C:\Archivos de programa\Outlook Express\Hotmail - Elementos eliminados.dbx=>(message 1) Update
C:\Archivos de programa\Outlook Express\Hotmail - Elementos eliminados.dbx Update failed
C:\Archivos de programa\Outlook Express\Hotmail - Elementos eliminados.dbx=>(message 3)=>[Subject: fake][Date: Wed, 25 Feb 2004 1022 -0300]=>(MIME part)=>talk.zip Infected Win32.Netsky.B@mm
C:\Archivos de programa\Outlook Express\Hotmail - Elementos eliminados.dbx=>(message 3)=>[Subject: fake][Date: Wed, 25 Feb 2004 1022 -0300]=>(MIME part)=>talk.zip Deleted
C:\Archivos de programa\Outlook Express\Hotmail - Elementos eliminados.dbx=>(message 3)=>[Subject: fake][Date: Wed, 25 Feb 2004 1022 -0300]=>(MIME part) Update
C:\Archivos de programa\Outlook Express\Hotmail - Elementos eliminados.dbx=>(message 3) Update
C:\Archivos de programa\Outlook Express\Hotmail - Elementos eliminados.dbx Update failed
C:\Archivos de programa\Outlook Express\Hotmail - Elementos eliminados.dbx=>(message 4)=>[Subject: hi][Date: Fri, 27 Feb 2004 16:18:29 -0300]=>(MIME part)=>product.pif Infected Win32.Netsky.B@mm
C:\Archivos de programa\Outlook Express\Hotmail - Elementos eliminados.dbx=>(message 4)=>[Subject: hi][Date: Fri, 27 Feb 2004 16:18:29 -0300]=>(MIME part)=>product.pif Deleted
C:\Archivos de programa\Outlook Express\Hotmail - Elementos eliminados.dbx=>(message 4)=>[Subject: hi][Date: Fri, 27 Feb 2004 16:18:29 -0300]=>(MIME part) Update
C:\Archivos de programa\Outlook Express\Hotmail - Elementos eliminados.dbx=>(message 4) Update
C:\Archivos de programa\Outlook Express\Hotmail - Elementos eliminados.dbx Update failed
Scanned files
**************************************************
El virus sigue intacto, cero rasguño :-(
**************************************************
El hijackerthis entregó lo siguiente:
Logfile of HijackThis v1.99.1
Scan saved at 12:08:31, on 08-04-05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\ESCRITORIO\ANTI SPYBOT VARIOS\HIJACKTHIS.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.cl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft LirolDey Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [MemDefrag] C:\ARCHIVOS DE PROGRAMA\MEMDEFRAG\MDEFRAG.EXE
O4 - HKLM\..\Run: [a-winpoet-service] "C:\Archivos de programa\WinPoET\winpppoverethernet.exe"
O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [BDMCon] C:\ARCHIV~1\SOFTWIN\BITDEF~1\BDMCON.EXE
O4 - HKLM\..\Run: [BDNewsAgent] C:\ARCHIVOS DE PROGRAMA\SOFTWIN\BITDEFENDER FREE EDITION\bdnagent.exe
O4 - HKLM\..\Run: [PTSNOOP] ptsnoop.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\WINDOWS\SYSTEM\CnxDslTb.exe"
O4 - HKLM\..\RunServices: [Apache] "C:\APPSERV\APACHE\APACHE.EXE" -k start -n Apache
O4 - HKLM\..\RunServices: [SmcService] C:\ARCHIVOS DE PROGRAMA\SYGATE\SPF\SMC.EXE
O4 - HKLM\..\RunServices: [BitDefender Scan Server] C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\\bdss.exe
O4 - HKLM\..\RunServices: [BitDefender Communicator] C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\\xcommsvr.exe
O4 - HKLM\..\RunServices: [BitDefender Live! Init] C:\Archivos de programa\Softwin\BitDefender Free Edition\\bdinit.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Decompiler - C:\Archivos de programa\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm
O8 - Extra context menu item: &Google Search - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Instantánea de caché de la página - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Páginas similares - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: SWFDecompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Archivos de programa\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Decompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Archivos de programa\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Archivos de programa\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .pdf: C:\ARCHIV~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

apareció nuevamente el ptsnoop.exe pero no se si borrarlo siempre que aparezca.

Bueno seguimos luchando si tu quieres.
GRACIAS POR TI PACIENCIA Y TIEMPO
LUIS SKYWALLKER