Buenos dias, les envio mi LOG para que me ayuden a quitar un bicho que me habre ventanas del explorer con publicidad, gracias.

Logfile of HijackThis v1.99.1
Scan saved at 08:58:46 a.m., on 25/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\Program Files\NavNT\defwatch.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\NavNT\vptray.exe
C:\WINDOWS\system32\wltray.exe
C:\PROGRA~1\Keyboard\Ikeymain.exe
C:\defender22.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\QLink 1.0\devmonit.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Starfish\TrueSync\tstool.exe
C:\Program Files\Microsoft Office\Office\3082\msoffice.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\Program Files\HJT\HijackThis.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.com.mx
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Prodigy Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = ;127.0.0.1;www.theroyalregistry.com;<local>
O1 - Hosts: 216.19.0.250 idenupdate.motorola.com
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [wltray.exe] C:\WINDOWS\system32\wltray.exe
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [defender] C:\\defender22.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Find Fast.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Monitor.lnk = C:\Program Files\QLink 1.0\devmonit.exe
O4 - Global Startup: Office Startup.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: TrueSync Launcher.lnk = C:\Program Files\Starfish\TrueSync\tstool.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://automobiles.honda.com/models/mov_iframe_viewpt.asp?path=/images/banners/2006/civic_sedan/exterior_viewpoint&FrameBGColor=%23FFFFFF&ModelNam eDir=civic_sedan_ext.mtz&FlashNav=whole.swf&MediaD imensions=454x240%3A%3A454x107
O16 - DPF: {044123B5-35DF-4C4E-BAED-26B8ED964342} (HLiveRobotWeb Control) - https://update3.globalhauri.com/Custom/LiveSuite/BANAMEX/web/HLiveRobotWeb.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {59D04288-805E-4D43-BE09-83B1083E9E1E} - http://idenphones.motorola.com/iden/client/iUpdateAutoLaunch.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124906341840
O16 - DPF: {A1426AC5-8CE5-4A00-B71E-011D35709AC6} - http://advnt01.com/dialer/mex_ver34_35.CAB
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = lancer.com.mx
O17 - HKLM\Software\..\Telephony: DomainName = lancer.com.mx
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC96A313-2B37-4944-ADC4-7AF500F8B4F7}: NameServer = 200.33.148.201,200.33.148.193
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = lancer.com.mx
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = lancer.com.mx
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: OptimalLayout - C:\WINDOWS\system32\hrn6055se.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: QCONSVC - Unknown owner - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

Hola!!!

Descarga DelPSGuard v 4.0.1 pero no lo ejecutes aún.

Sigue estos pasos:

1) Apaga Restaurar Sistema

2) Ver archivos ocultos

3) Reinicia a prueba de fallos

4) Ejecuta HijackThis con todos los programas cerrados y dale Fix checked a:

O4 - HKLM\..\Run: [defender] C:\\defender22.exe

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O16 - DPF: {A1426AC5-8CE5-4A00-B71E-011D35709AC6} - http://advnt01.com/dialer/mex_ver34_35.CAB

O20 - Winlogon Notify: OptimalLayout - C:\WINDOWS\system32\hrn6055se.dll

5) Busca y elimina estos archivos y/o carpetas con todo su contenido:

C:\defender22.exe
C:\WINDOWS\system32\hrn6055se.dll

Para archivos que no se dejen eliminar usa KillBox

No te detengas si algún archivo no se deja eliminar ni con KillBox, continua y luego nos comentas.

6) En modo seguro o a prueba de fallos, ejecuta DelPSGuard (guarda el reporte que te genere)

7) Reinicia normal y continua con estos pasos:

• Pasa al menos 2 de estos Antivirus Online
• Limpia el registro con RegSeeker y pasa Ad-Aware actualizado.
• Elimina cookies y temporales con Disk Cleaner y vacía la papelera.

8) Finaliza con estos pasos:

Descaga Look2Me-Destroyer.exe y guárdalo en el escritorio.
Cierra todas las ventanas y dale doble clic a Look2Me-Destroyer.exe
Marca la casilla Run this program as a task. Recibirás un mensaje que dice que Look2Me-Destroyer se cerrará y que abrirá de nuevo en aproximadamente 10 segundos, presiona Aceptar.
Cuando Look2Me-Destroyer se vuelva a abrir, presiona el botón Look for L2M. Los íconos del escritorio desaparecerán, eso es normal.
Una vez finalizada la exploración presiona el botón Remove L2M.
Recibirás un mensaje que dice Done Scanning, presiona Aceptar.
Cuando finalice recibirás este mensaje: Done removing infected files! Look2Me-Destroyer will now shutdown your computer, presiona Aceptar.
Tu PC se apagará, así que deberás volver a encenderla.
Ve hacia C:\Look2Me-Destroyer.txt, abre el archivo de texto y copia aquí su contenido junto a un nuevo log de HijackThis.

Nota 1.-
Si recibes un mensaje de tu cortafuegos sobre que este programa pide acceso a Internet, permítelo.

Nota 2.-
Si recibes un mensaje de runtime error '339' deberás descargar el archivo MSWINSCK.OCX y situarlo en C:\Windows\system32

Deja tabien el reporte de DelPSGuard.

Saludos

Se puso la pantalla en negro y me indica que el windows no puede iniciar ya que el archivo <windows root>\system32\ntoskrnl.exe esta perdido o corrupto y que lo reinstale, pero no me deja hacer nada el equipo, tengo el disco del windows pero me pregunta por el password del administrador pero no lo tengo y en estos momentos estoy bajando en otro equipo el ophcrack-livecd-1.0.iso que se supone bootea el equipo y puedes sacar los password de todo el equipo, necesito el del administrador para poder en modo de restauracion reparar el file...

Gracias, cuando salga de esta pondre los resultados al igual que el seguimiento de tus instrucciones, hay otro programa el CIA_COMMANDER que hace lo mismo pero desfortunadamente mi maquina no tiene UNIDAD DE 3.5 y es para un disskete, pero bueno ahora es cuando uno dice estaba mejor ver las ventanas de publicidad que estar viendo la pantalla negra del equipo.

Saludos.

¿Cuando ocurrió exactamente esa falla?

Saludos

Hola disculpa por no responder pronto es que se me complica usar otro equipo, esto sucedio despues de usar el limpiador de cokies y temporales apague en equipo para reiniciarlo y me comenso a poner este mensaje archivos corregidos hasta el momento
c:/windows/system32:

hal.dll
ntoskrnl.exe
l_intl.nls
c_1252.nls
c_437.nls

c:/windows/system32/drivers:

ntfs.sys

Despues de esto ya no me indica un archivo en especifico, ya comienza en la ventana de presentacion pero luego me aparece una ventana azul con el error stop: 0x000007b y que limpie de virus y luego que repare el xp, tengo el disco pero no tengo el password del administrador, y pues en eso estoy.

Gracias por todo.

Trata de seguir estos pasos:

¿Cómo reinstalar Windows sin perder los datos?

Nos cuentas....

Saludos