Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hace un par de semanas que el maldito ordenador me funciona mal. Se ralentiza muchísimo llegando a bloquearse y, en ocasiones, se reinicia solo y se queja de fallos graves en el sistema.
Estos problemas coinciden, en el tiempo, con la instalación del bitcomet... casualidad?? seguramente no.
Le he pasado el Kaspersky y el ad-aware. Me salen como cincuenta y pico archivos infectados por un p*to trojano llamado downloader.win32.swizzor. Lo elimino una y otra vez, pero cuando paso los programas de nuevo, ahí está el muy...

Es culpa del trojano este que se cuelgue?? puede ser alguna otra cosa?
Os mando mi log del hijackthis a ver que solución me dais. Gracias...

Logfile of HijackThis v1.99.1
Scan saved at 15:03:18, on 29/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\Archivos de programa\Executive Software\DiskeeperWorkstation\DKService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\system32\ctfmon.exe
c:\archiv~1\intern~1\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\ARCHIV~1\WINZIP\winzip32.exe
C:\Documents and Settings\Aurea\Configuración local\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://apmjqugrka.com/ddOCF0Ko7wtU_GkDYvQiSOkuJAxFkjd3Ik4fEps491hbvVMh3_ YRD_yR6k_PGafp.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ytkguoxkriestuewqd.org/ddOCF0Ko7wvhXy65F3PmfcCHbiWF8ouMH6GFnObNEhU.php
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet Toolbar Helper - {6A373B7E-496E-424f-A9BE-486A5E9AB018} - C:\Archivos de programa\BitComet Toolbar\v2.0.0.4\BitComet_Toolbar.dll
O2 - BHO: (no name) - {99BDE72F-1775-E87B-FA1C-854AEEF895BC} - C:\DOCUME~1\Aurea\DATOSD~1\ELSEWI~1\Bin Delete.exe (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar.dll
O2 - BHO: (no name) - {C27E1289-8AAB-EC23-AC25-9EAC2A2D0D70} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar.dll
O3 - Toolbar: BitComet Toolbar - {2E608F70-C430-4bc5-96F6-608E02EBA5B2} - C:\Archivos de programa\BitComet Toolbar\v2.0.0.4\BitComet_Toolbar.dll
O4 - HKLM\..\Run: [Outpost Firewall] C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [link admin second start] C:\Documents and Settings\All Users\Datos de programa\Send Body Link Admin\keep readme.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [32 flag] C:\DOCUME~1\Aurea\DATOSD~1\PHONEB~1\Sign01.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\googletoolbar.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Archivos de programa\Google\googletoolbar.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Archivos de programa\Google\googletoolbar.dll/cmcache.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Archivos de programa\Google\googletoolbar.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Archivos de programa\Google\googletoolbar.dll/cmtrans.html
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: Papelera - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\ARCHIV~1\Agnitum\OUTPOS~1.0\trash.exe (HKCU)
O9 - Extra 'Tools' menuitem: Papelera - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\ARCHIV~1\Agnitum\OUTPOS~1.0\trash.exe (HKCU)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by104fd.bay104.hotmail.msn.com/resources/MsnPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{376D891F-18DB-4E9E-8659-DB6AC3C10BDE}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{636F4CB6-83F5-428E-BCD6-0FB29BD0A199}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{376D891F-18DB-4E9E-8659-DB6AC3C10BDE}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CS2\Services\Tcpip\..\{376D891F-18DB-4E9E-8659-DB6AC3C10BDE}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CS3\Services\Tcpip\..\{376D891F-18DB-4E9E-8659-DB6AC3C10BDE}: NameServer = 80.58.0.33,80.58.32.97
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Archivos de programa\Executive Software\DiskeeperWorkstation\DKService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe

Hola te doy la bienvenida al foro, el problema es causado por el MessengerPlus, desinstala el MessengerPlus ya que instala spywares/adwares, al momento de su desinstalación desinstala primero su patrocinador y luego todo el programa, si pasaste antispywares antes de su desinstalación deberás instalarlo nuevamente con todo y patrocinador y luego volver a desinstalarlo como te indiqué.

(*) Ver nota Messenger Plus!

Luego sigue estos pasos:

1.- Apaga el "Restaurar Sistema"

2.- Activa la opción Ver Archivos Ocultos

3.- Reinicia en Modo a Prueba de Fallos

4.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://apmjqugrka.com/ddOCF0Ko7wtU_GkDYvQiSOkuJAxFkjd3Ik4fEps491hbvVMh3_ YRD_yR6k_PGafp.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ytkguoxkriestuewqd.org/ddOCF0Ko7wvhXy65F3PmfcCHbiWF8ouMH6GFnObNEhU.ph p

O2 - BHO: (no name) - {99BDE72F-1775-E87B-FA1C-854AEEF895BC} - C:\DOCUME~1\Aurea\DATOSD~1\ELSEWI~1\Bin Delete.exe (file missing)

O2 - BHO: (no name) - {C27E1289-8AAB-EC23-AC25-9EAC2A2D0D70} - (no file)

O4 - HKLM\..\Run: [link admin second start] C:\Documents and Settings\All Users\Datos de programa\Send Body Link Admin\keep readme.exe

O4 - HKCU\..\Run: [32 flag] C:\DOCUME~1\Aurea\DATOSD~1\PHONEB~1\Sign01.exe

O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)

5.- Sin reiniciar, busca y elimina estas carpetas con todo su contenido:

C:\DOCUME~1\Aurea\DATOSD~1\ELSEWI~1\

C:\Documents and Settings\All Users\Datos de programa\Send Body Link Admin\

C:\DOCUME~1\Aurea\DATOSD~1\PHONEB~1\

6.- Pasa el Disk Cleaner para limpiar cookies y temporales

7.- Pasa el Regseeker para Limpiar el Registro, pásalo hasta q no quede nada para eliminar.

8.- Pasa el Ad-Aware SE actualizado e instala SpywareBlaster

9.- Reinicia la maquina y pega otro log de Hijackthis aqui mismo, luego nos cuentas como te fue.

De preferencia imprime las indicaciones para que se te haga mas facil seguirlas.

Saludos

Mil gracias por tu rápida respuesta...

He seguido todos los pasos indicados. Con las entradas que tenía que arreglar he dudado un poco. Perdona mi ignorancia pero yo buscaba que se llamasen exactamente igual (me equivocaba?).

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://apmjqugrka.com/ddOCF0Ko7wtU_GkDYvQiSOkuJAxFkjd3Ik4fEps491hbvVMh3_ YRD_yR6k_PGafp.htm

Esta no se llamaba así exactamente pero yo la he borrado (difería en el nombrajo ese).

La segunda, directamente no estaba.

En la tercera:
O2 - BHO: (no name) - {99BDE72F-1775-E87B-FA1C-854AEEF895BC} - C:\DOCUME~1\Aurea\DATOSD~1\ELSEWI~1\Bin Delete.exe (file missing)
Esto último no aparecía, en su lugar ponía (no file), pero yo la he borrado igualmente.

Las 2 de 04 tampoco estaban.

Tampoco he encontrado estas carpetas
C:\DOCUME~1\Aurea\DATOSD~1\ELSEWI~1\

C:\Documents and Settings\All Users\Datos de programa\Send Body Link Admin\

Pero sí una carpeta llamada isowebboldflap (dentro de datos de programa), que no daba buen rollo, jeje. La he borrado, no habré hecho mal, no?

Bueno, yo te mando el último log y me cuentas:

Logfile of HijackThis v1.99.1
Scan saved at 20:58:52, on 30/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\Archivos de programa\Executive Software\DiskeeperWorkstation\DKService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\system32\wuauclt.exe
C:\ARCHIV~1\WINZIP\winzip32.exe
C:\Documents and Settings\Aurea\Configuración local\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet Toolbar Helper - {6A373B7E-496E-424f-A9BE-486A5E9AB018} - C:\Archivos de programa\BitComet Toolbar\v2.0.0.4\BitComet_Toolbar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar.dll
O3 - Toolbar: BitComet Toolbar - {2E608F70-C430-4bc5-96F6-608E02EBA5B2} - C:\Archivos de programa\BitComet Toolbar\v2.0.0.4\BitComet_Toolbar.dll
O4 - HKLM\..\Run: [Outpost Firewall] C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\googletoolbar.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Archivos de programa\Google\googletoolbar.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Archivos de programa\Google\googletoolbar.dll/cmcache.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Archivos de programa\Google\googletoolbar.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Archivos de programa\Google\googletoolbar.dll/cmtrans.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: Papelera - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\ARCHIV~1\Agnitum\OUTPOS~1.0\trash.exe (HKCU)
O9 - Extra 'Tools' menuitem: Papelera - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\ARCHIV~1\Agnitum\OUTPOS~1.0\trash.exe (HKCU)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by104fd.bay104.hotmail.msn.com/resources/MsnPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{376D891F-18DB-4E9E-8659-DB6AC3C10BDE}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{636F4CB6-83F5-428E-BCD6-0FB29BD0A199}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{376D891F-18DB-4E9E-8659-DB6AC3C10BDE}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CS2\Services\Tcpip\..\{376D891F-18DB-4E9E-8659-DB6AC3C10BDE}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CS3\Services\Tcpip\..\{376D891F-18DB-4E9E-8659-DB6AC3C10BDE}: NameServer = 80.58.0.33,80.58.32.97
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Archivos de programa\Executive Software\DiskeeperWorkstation\DKService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe

Muchísimas gracias... que haría la plebe sin maestros como vosotros

Bien, el log está limpio, hiciste un buen trabajo

Damos el tema por solucionado

Saludos