En primer lugar agraderos la ayuda que ofreceis a humildes usuarios, que como yo se topan sin saber que hacer con el p... mal/spyware. Sinceramente, muy agradecido.
Y de paso, sin intencion de abusar, pediros un favorcillo, ¿es correcto esle log? GRACIAS.


Logfile of HijackThis v1.99.1
Scan saved at 3:04:07, on 21/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\BCMSMMSG.exe
C:\Archivos de programa\Apoint\Apoint.exe
C:\WINDOWS\system32\BacsTray.exe
C:\Archivos de programa\Dell\QuickSet\quickset.exe
C:\WINDOWS\System32\DSentry.exe
C:\Archivos de programa\Dell\Media Experience\PCMService.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\revisorsystray.exe
C:\Archivos de programa\Linksys Wireless-G USB Wireless Network Monitor\WLService.exe
C:\Archivos de programa\Linksys Wireless-G USB Wireless Network Monitor\WUSB54GS.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Archivos de programa\Apoint\Apntex.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Archivos de programa\eMule\emule.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\Juan_Luis\Escritorio\Seguridad Internet\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/es/esp/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/es/esp/gen/default.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/es/esp/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/countries/es/esp/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IST - {12498B59-23E4-4CBB-91BF-876BD015AC0D} - C:\ARCHIV~1\ISTWEA~1\istweak.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint\Apoint.exe
O4 - HKLM\..\Run: [bacstray] BacsTray.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Archivos de programa\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Archivos de programa\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [PCMService] "C:\Archivos de programa\Dell\Media Experience\PCMService.exe"
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [cploader.exe] C:\WINDOWS\System32\cploader.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: RevisorSystray.lnk = C:\WINDOWS\SYSTEM32\revisorsystray.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{86F830A4-3AB7-4809-8EBB-8F4A4AE197C1}: NameServer = 85.255.116.72,85.255.112.206
O17 - HKLM\System\CCS\Services\Tcpip\..\{87006BDD-5582-4B49-8DBC-EB96C2B78662}: NameServer = 85.255.116.72,85.255.112.206
O17 - HKLM\System\CCS\Services\Tcpip\..\{93A831F1-CCBE-4325-A702-B3C744F452CE}: NameServer = 85.255.116.72,85.255.112.206
O17 - HKLM\System\CCS\Services\Tcpip\..\{9A83D859-368E-42E6-887B-383C5A5C64C8}: NameServer = 85.255.116.72,85.255.112.206
O17 - HKLM\System\CCS\Services\Tcpip\..\{B3CD8AD0-A6CA-42C7-97C6-C846CA9E0159}: NameServer = 85.255.116.72,85.255.112.206
O17 - HKLM\System\CCS\Services\Tcpip\..\{EDB23DE3-CA8F-4E89-B2F0-2AB308BB8C4F}: NameServer = 85.255.116.72,85.255.112.206
O17 - HKLM\System\CCS\Services\Tcpip\..\{F069DE4C-2770-43E2-9DEC-2A0599917858}: NameServer = 85.255.116.72,85.255.112.206
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Archivos de programa\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: WUSB54GSSVC - Unknown owner - C:\Archivos de programa\Linksys Wireless-G USB Wireless Network Monitor\WLService.exe" "WUSB54GS.exe (file missing)

Lo siento!!
Acabo de leer de los logs en esta seccion...

Hola T62,Bienvenido a Infospyware.

Una pregunta tu antivirus y tu firewall,lo tienes actualizado y bien configurado

Realiza todos los pasos sin saltarte ninguno,por favor.
Apaga tu ruter/moden y desconecta el cable de tf. de la torre.

*Ver archivos ocultos en todos los Windows

*Apagar Restaurar Sistema (Systema Restore)

*Reinicia el PC en Modo a prueba de fallos

Ejecuta el hijackthis y con todos lo programas cerrados marca las siguientes entradas y pulsa en FIX Checked:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/es/esp/gen/default.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/es/esp/gen/default.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/es/esp/gen/default.htm

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/countries/es/esp/gen/default.htm
O2 - BHO: IST - {12498B59-23E4-4CBB-91BF-876BD015AC0D} - C:\ARCHIV~1\ISTWEA~1\istweak.dll
O4 - HKLM\..\Run: [cploader.exe] C:\WINDOWS\System32\cploader.exe

O4 - Startup: RevisorSystray.lnk = C:\WINDOWS\SYSTEM32\revisorsystray.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present

Resulta que te hackearon el dominio, por lo que el hijacker cambió los servidores DNS de tu pc para que este apunte a los propios servidores del hijacker, de manera que te pueden dirigir al sitio que ellos quieran.

Al dar fix es posible que el no puedas conectarte a internet, por tanto es recomendable que antes de dar fix pases el WinSock XP Fix 1.2 para que pueda reparar su conexión después de dar fix.

Si no quieres emplear este programa o no funciona el arreglo se puede hacer de forma manual:

Inicio-> Panel de Control-> Conexiones de red-> Clic dcho a la conexión de red-> Propiedades->

Protocolo Internet (TCP/IP)-> Propiedades y una vez ahí habría que excoger

"Obtener la dirección del servidor DNS automáticamente" en el caso de que las obtenga automáticamente o "Usar las siguientes direcciones del servidor DNS" y ahí poner los DNS del proveedor, en el caso contrario.

Para averiguar tus D.N.S.:

Accede a Inicio >> Ejecutar, tecleas cmd

En la consola de comandos, tecleas: ipconfig /all > datosip.txt

Se te habrá creado un fichero en el disco llamado datosip.txt, localízalo y ábrelo; en su interior verás los "Servidores DNS", dichas ip's deben coincidir con los de tu proovedor de internet.

O17 - HKLM\System\CCS\Services\Tcpip\..\{86F830A4-3AB7-4809-8EBB-8F4A4AE197C1}: NameServer = 85.255.116.72,85.255.112.206
O17 - HKLM\System\CCS\Services\Tcpip\..\{87006BDD-5582-4B49-8DBC-EB96C2B78662}: NameServer = 85.255.116.72,85.255.112.206
O17 - HKLM\System\CCS\Services\Tcpip\..\{93A831F1-CCBE-4325-A702-B3C744F452CE}: NameServer = 85.255.116.72,85.255.112.206

O17 - HKLM\System\CCS\Services\Tcpip\..\{9A83D859-368E-42E6-887B-383C5A5C64C8}: NameServer = 85.255.116.72,85.255.112.206
O17 - HKLM\System\CCS\Services\Tcpip\..\{B3CD8AD0-A6CA-42C7-97C6-C846CA9E0159}: NameServer = 85.255.116.72,85.255.112.206
O17 - HKLM\System\CCS\Services\Tcpip\..\{EDB23DE3-CA8F-4E89-B2F0-2AB308BB8C4F}: NameServer = 85.255.116.72,85.255.112.206

O17 - HKLM\System\CCS\Services\Tcpip\..\{F069DE4C-2770-43E2-9DEC-2A0599917858}: NameServer = 85.255.116.72,85.255.112.206


Sin reiniciar,busca y elimina estos archivos/carpetas.Utiliza el KillBox si no puedes eliminarlos.

Le vas poniendo que NO a reiniciar hasta que pongas el ultimo y ahi le pones que SI para que reinicie y elimine estos archivos infectados.

C:\WINDOWS\SYSTEM32\revisorsystray.exe
C:\ARCHIV~1\ISTWEA~1\istweak.dll
C:\WINDOWS\System32\cploader.exe

Pasa estas herramientas:

*Ad-Aware 1.06 SE Personal

*Disk Cleaner para limpiar cookis y temporales

* RegSeeker para limpiar el registro y su manual pasalo varias veces hasta que ya no te salga nada.

Instálate el SpywareBlaster 3.4 manual

Reactiva la opción de restaurar el sistema,reinicias y te conectas a la red.

Y le pasas 2 antivirus online el ewido y el panda.

Pones otro log para ver como esta todo y nos cuentas los resultados.

*Si tienes alguna duda,te puedes imprimir las instrucciones.

*La ubicación del hijackthis,no es la mas idónea.Eliminalo y despues le pasas el, * RegSeeker para limpiar el registro y su manual pasalo varias veces hasta que ya no te salga nada. Y te bajas el nuevo *HijackThis de aquí.

C:\Documents and Settings\Juan_Luis\Escritorio\Seguridad Internet\HijackThis.exe

saludos