Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Que tal, pues aqui molestando otra vez, tengo problemas con la pc, trabajando con ciertos programas el proceso rlvknlg.exe congela las ventanas, dique que es este porque lo cerré y todo normal, ademas de este hay mas que me parecen extraños, aquí envio el log, gracias


Logfile of HijackThis v1.99.1
Scan saved at 08:00:40 a.m., on 30/03/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\system32\svchost.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Archivos de programa\Startup Mechanic\StartupMonitor.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\WINNT\system32\internat.exe
C:\Archivos de programa\Skype\Phone\Skype.exe
c:\archiv~1\intern~1\iexplore.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
c:\winnt\system32\rlvknlg.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04. exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgw.exe
C:\Archivos de programa\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.hbykhcmpieiivrdkpwvxugx.us/yKY2Lfkewf9Onf5g5WJtOuevZRmW/J5wYWvrMnqzbYyI7hvrVHQttCO41dRGfG7q.cgi
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.azcgzwevfevhym.biz/yKY2Lfkewf_m5LODhef0Xtl4RWEfu2Roh9Cd1sZMWt4.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t1msn.com.mx/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 100.100.100.3:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1F830A26-72BD-4DF7-D0EB-DE53C8C588A5} - C:\DOCUME~1\ADMINI~1\DATOSD~1\SECOND~1\blah cast.exe
O2 - BHO: (no name) - {2E246FAE-8420-11D9-870D-000C2917DE7F} - (no file)
O2 - BHO: (no name) - {511F9316-771B-4953-A268-1C36DA667FE9} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Dog Dart] C:\DOCUME~1\ADMINI~1\DATOSD~1\CHICFU~1\SITE FILE MEMO.exe
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\winnt\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\rlls.dll
O16 - DPF: {00000000-0023-0000-5400-320020040070} - http://212.239.40.78/cdo/mx/game.exe
O16 - DPF: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - http://www.wildtangent.com/install/jvm/msjavx86_3805.exe
O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - http://advnt01.com/dialer/mex_ver32b.CAB
O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} - http://ip.sponsoradulto.com/cab/3/es/SysWebTelecomInt.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1870BB6-EF02-4BBD-B331-435E7FC94B52}: NameServer = 200.38.10.1,200.23.249.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{D1870BB6-EF02-4BBD-B331-435E7FC94B52}: NameServer = 200.38.10.1,200.23.249.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{D1870BB6-EF02-4BBD-B331-435E7FC94B52}: NameServer = 200.38.10.1,200.23.249.1
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe

Hola manuel_contrera, gran parte de tu problema está siendo causado por el MessengerPlus, desinstala el MessengerPlus ya que instala spywares/adwares, al momento de su desinstalación desinstala primero su patrocinador y luego todo el programa, si pasaste antispywares antes de su desinstalación deberás instalarlo nuevamente con todo y patrocinador y luego volver a desinstalarlo como te indiqué.

(*) Ver nota Messenger Plus!

Luego sigue estos pasos:

1.- Descarga la herramienta LSPFix pero no la ejecutes aún.

2.- Activa la opción Ver Archivos Ocultos

3.- Reinicia en Modo a Prueba de Fallos

4.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.hbykhcmpieiivrdkpwvxugx.us/yKY2Lfkewf9Onf5g5WJtOuevZRmW/J5wYWvrMnqzbY yI7hvrVHQttCO41dRGfG7q.cgi

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.azcgzwevfevhym.biz/yKY2Lfkewf_m5LODhef0Xtl4RWEfu2Roh9Cd1sZMWt4.html

O2 - BHO: (no name) - {1F830A26-72BD-4DF7-D0EB-DE53C8C588A5} - C:\DOCUME~1\ADMINI~1\DATOSD~1\SECOND~1\blah cast.exe

O2 - BHO: (no name) - {2E246FAE-8420-11D9-870D-000C2917DE7F} - (no file)

O2 - BHO: (no name) - {511F9316-771B-4953-A268-1C36DA667FE9} - (no file)

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKCU\..\Run: [Dog Dart] C:\DOCUME~1\ADMINI~1\DATOSD~1\CHICFU~1\SITE FILE MEMO.exe

O20 - AppInit_DLLs: MsgPlusLoader.dll

5.- Sin reiniciar, busca y elimina estas carpetas con todo su contenido:

C:\DOCUME~1\ADMINI~1\DATOSD~1\SECOND~1\

C:\DOCUME~1\ADMINI~1\DATOSD~1\CHICFU~1\

6.- Siguiendo los pasos de su manual ejecuta la herramienta LSPFix para reparar las entradas 010:

O10 - Unknown file in Winsock LSP: c:\winnt\system32\rlls.dll

7.- Pasa el Disk Cleaner para limpiar cookies y temporales

8.- Pasa el Regseeker para Limpiar el Registro, pásalo hasta q no quede nada para eliminar.

9.- Pasa el Ad-Aware SE actualizado e instala SpywareBlaster

10.- Reinicia la maquina y pega otro log de Hijackthis aqui mismo, luego nos cuentas como te fue.

De preferencia imprime las indicaciones para que se te haga mas facil seguirlas.

Saludos

Gracias por su respuesta, aquí esta el log resultante pero veo que el archivo
sigue presente (rlvknlg.exe), no se si sea de sistema o no.


Logfile of HijackThis v1.99.1
Scan saved at 08:38:42 a.m., on 04/04/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\system32\svchost.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\WINNT\system32\internat.exe
C:\Archivos de programa\Skype\Phone\Skype.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04. exe
c:\winnt\system32\rlvknlg.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t1msn.com.mx/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 100.100.100.3:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\winnt\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\rlls.dll
O16 - DPF: {00000000-0023-0000-5400-320020040070} - http://212.239.40.78/cdo/mx/game.exe
O16 - DPF: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - http://www.wildtangent.com/install/jvm/msjavx86_3805.exe
O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - http://advnt01.com/dialer/mex_ver32b.CAB
O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} - http://ip.sponsoradulto.com/cab/3/es/SysWebTelecomInt.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1870BB6-EF02-4BBD-B331-435E7FC94B52}: NameServer = 200.38.10.1,200.23.249.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{D1870BB6-EF02-4BBD-B331-435E7FC94B52}: NameServer = 200.38.10.1,200.23.249.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{D1870BB6-EF02-4BBD-B331-435E7FC94B52}: NameServer = 200.38.10.1,200.23.249.1
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe

Sigue estos pasos:

- Reinicia en Modo a Prueba de Fallos

- Sigue los pasos que te recomendé con la herramienta LSPFix para reparar las entradas 010, ya que veo que aún no lo haz hecho:

O10 - Unknown file in Winsock LSP: c:\winnt\system32\rlls.dll

- Busca y elimina estos archivos, si aún los encuentras:

c:\winnt\system32\rlvknlg.exe

c:\winnt\system32\rlls.dll


Si no se dejan eliminar descarga el programa "Killbox" y sigue las indicaciones del mensaje, copia y pega los archivos para que los elimine al reiniciar.

Reinicia la máquina y verifica los resultados.

Saludos