Buenas Tardes, Saludos desde Bogotá - Colombia

Soy un usuario nuevo de este servicio y agradecería su ayuda para eliminar tres molestos spyware que han infectado mi PC. Estos son:

CoolWWWSearch.Googlems, SearchMiracle y Elitum.EliteBar.

He intentado eliminarlos con SpyBot 1.3 y Ad-Aware SE, pero vuelven a regenerarse. Mi antivirus (NAV - Symantec Corporate Edition) no los detecta.

Antes de ingresar al foro leí que ustedes prestaban su valiosa ayuda basándose en el log arrojado por HijackThis, por lo cual lo transcribo a continuación:

Logfile of HijackThis v1.99.1
Scan saved at 17:20:25, on 20/04/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Archivos de programa\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\Cpqdiag\Cpqdfwag.exe
C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\GEARSEC.EXE
D:\CLIENTE_9i\bin\omtsreco.exe
C:\WINNT\system32\regsvc.exe
C:\Archivos de programa\Symantec AntiVirus\SavRoam.exe
C:\WINNT\system32\MSTask.exe
C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\igfxtray.exe
C:\WINNT\system32\hkcmd.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\ARCHIV~1\SYMANT~1\VPTray.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINNT\system32\cmd32.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINNT\explorer.exe
C:\ARCHIV~1\WINZIP\winzip32.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe
C:\Archivos de programa\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: 172.26.194.2 forpo06.forpo.gov.co
O1 - Hosts: 172.26.195.4 forpo05
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ControlPanel] C:\WINNT\system32\cmd32.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [etbrun] c:\winnt\system32\elitersk32.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WindowBlinds] C:\Archivos de programa\Stardock\Object Desktop\WindowBlinds\wbload.exe auto
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk.disabled
O4 - Global Startup: Wall Server.lnk.disabled
O4 - Global Startup: WinZip Quick Pick.lnk.disabled
O18 - Protocol: qrev - {9DE24BAC-FC3C-42C4-9FC4-76B3FAFDBD90} - D:\TOAD80\RNetPin.dll
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Compaq Remote Diagnostics Enabling Agent (CpqDfwWebAgent) - Compaq Computer Corporation - C:\WINNT\Cpqdiag\Cpqdfwag.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINNT\system32\GEARSEC.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exe
O23 - Service: OracleClientCache80 - Unknown owner - C:\ORANT\BIN\ONRSD80.EXE
O23 - Service: OracleHOME_ORACLE_9iClientCache - Unknown owner - D:\CLIENTE_9i\BIN\ONRSD.EXE
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - D:\CLIENTE_9i\bin\omtsreco.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Archivos de programa\Symantec AntiVirus\SavRoam.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe

Mil gracias por la colaboración que puedan prestarme; llevo casi dos semanas tratando de eliminar estos molestos problemas.

Hola!!!

Sigue estos pasos:

1) Ver archivos ocultos

2) Pasa al menos 2 de estos Antivirus Online

3) Reinicia a prueba de fallos

4) Ejecuta HijackThis con todos los programas cerrados y dale fix a:

O4 - HKLM\..\Run: [ControlPanel] C:\WINNT\system32\cmd32.exe internat.dll,LoadKeyboardProfile

O4 - HKLM\..\Run: [etbrun] c:\winnt\system32\elitersk32.exe

O4 - Global Startup: Microsoft Office.lnk.disabled
O4 - Global Startup: Wall Server.lnk.disabled
O4 - Global Startup: WinZip Quick Pick.lnk.disabled


5) Busca y elimina estos archivos:

C:\WINNT\system32\cmd32.exe
c:\winnt\system32\elitersk32.exe

Si no se dejan eliminar usa KillBox (lo puedes encontrar en mi firma).

6) Limpia el registro con RegSeeker y pasa Ad-Aware actualizado.

7) Elimina cookies y temporales de internet con Disk Cleaner y vacia la papelera.

8) Reinicia normal y nos cuentas los resultados.

Saludos

El problema con los spyware de mi equipo ya se solucionó siguiendo los pasos indicados por usted. Mil gracias por tan valiosa colaboración.

Dentro de la ejecución del procedimiento corrí los antivirus On-line Panda ActiveScan 5.02.00, Symantec Onlyne y RAV, pero no todos los elementos encontrados fueron eliminados.

Algunos archivos infectados que no fueron limpiados los eliminé manualmente, pero me quedaron los siguientes pendientes, que no sé si sean graves:

1) RAV me muestra:
C:\WINNT\loadclean.exe - TrojanDownloader:Win32/Delf.CB -> Infected

Pero el archivo no existe.

2) Panda ActiveScan no logró limpiar los siguientes archivos:
Adware:Adware/Startpage.ABS No desinfectado C:\WINNT\SYSTEM32\mqspbkup.exe
Adware:Adware/Startpage.ABR No desinfectado C:\WINNT\SYSTEM32\spfnw.dll
Adware:Adware/CWS No desinfectado D:\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\fil e\SecurityClassLoader.class-7c728-5926e24f.class
Pero no me atreví a eliminarlos ya que no conozco su finalidad, quizás borre un archivo necesario para el sistema.

3) Por último Symantec me muestra que encontró el siguiente archivo:
C:\WINNT\Downloaded Program Files\CONFLICT.1\HDPlugin1101.dll está infectado con Adware.Gator

No fue limpiado pero tampoco sé si deba borrarlo.

Qué hago con estos archivos, los borro? o con qué herramienta los puedo limpiar?.

En el paso 5 donde me indicaba eliminar dos archivos, no encontré el "c:\WINNT\system32\cmd32.exe, así que no pude borrarlo.

De otra parte tengo instalado el FireWall Segate pero últimamente me ha presentado conflictos con la navegación de Internet, no me deja navegar, así que lo coloco en modo "allow". Esto me sucede desde que instalé una nueva versión de SQL Plus 9i (Oracle).

Entonces desinstalé el Segate y baje el firewall Outpost, lo instalé pero no deja arrancar la máquina normalmente, se bloquea. Debí desinstalarlo.

Qué firewall me recomienda que no me bloquee el PC?

Por último le envío el último LOG por si hay algo anormal:

Logfile of HijackThis v1.99.1
Scan saved at 17:56:42, on 21/04/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\Cpqdiag\Cpqdfwag.exe
C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\GEARSEC.EXE
C:\WINNT\System32\NMSSvc.exe
D:\CLIENTE_9i\bin\omtsreco.exe
C:\WINNT\system32\regsvc.exe
C:\Archivos de programa\Symantec AntiVirus\SavRoam.exe
C:\WINNT\system32\MSTask.exe
C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\igfxtray.exe
C:\WINNT\system32\hkcmd.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\ARCHIV~1\SYMANT~1\VPTray.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINNT\system32\wuauclt.exe
C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: 172.26.194.2 forpo06.forpo.gov.co
O1 - Hosts: 172.26.195.4 forpo05
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WindowBlinds] C:\Archivos de programa\Stardock\Object Desktop\WindowBlinds\wbload.exe auto
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O18 - Protocol: qrev - {9DE24BAC-FC3C-42C4-9FC4-76B3FAFDBD90} - D:\TOAD80\RNetPin.dll
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Compaq Remote Diagnostics Enabling Agent (CpqDfwWebAgent) - Compaq Computer Corporation - C:\WINNT\Cpqdiag\Cpqdfwag.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINNT\system32\GEARSEC.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exe
O23 - Service: OracleClientCache80 - Unknown owner - C:\ORANT\BIN\ONRSD80.EXE
O23 - Service: OracleHOME_ORACLE_9iClientCache - Unknown owner - D:\CLIENTE_9i\BIN\ONRSD.EXE
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - D:\CLIENTE_9i\bin\omtsreco.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Archivos de programa\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe

Nuevamente mil y mil gracias por su colaboración.