Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola, formateé mi disco duro hace dos días, todo bien hasta que hoy al iniciar sesión me dice que no puede cargar mi usuario y que se iniciaría con una sesión temporal (uso Windows 2000), así que creé otro usuario y me volvió a pasar lo mismo. Luego me fijé en la carpeta "Documents and Settings" que las carpetas de esos dos usuarios que me fallan están cambiados los nombres y terminan en ".bak" no sé porqué. Pasé SpyBot y el Kaspersky y se me cuelga con el antivirus y se me reinicia. Acabo de pasar el HijackThis y me quedo O_O. Os lo pego...

Mientras escanea el HijackThis me dice esto: "You hace a particularly large amount of hijacked domains. It's probably better to delete the file itself then to fix each item (and create a backup). If you see some IP adress in all the reported 01 items, consider deleting your Hosts file, which is located at C:/WINNT/System32/drivers/etc/hosts."

Logfile of HijackThis v1.99.1
Scan saved at 19:30:37, on 31/05/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Archivos de programa\Hispasec\CheckDialer\ChkDial.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: 220.232.149.248 lloydstsb.co.uk
O1 - Hosts: 220.232.149.248 online.lloydstsb.co.uk
O1 - Hosts: 220.232.149.248 www.lloydstsb.co.uk
O1 - Hosts: 220.232.149.248 www.lloydstsb.com
O1 - Hosts: 220.232.149.248 www.lloydstsb.com
O1 - Hosts: 220.232.149.248 personal.barclays.co.uk
O1 - Hosts: 220.232.149.248 barclays.co.uk
O1 - Hosts: 220.232.149.248 ibank.barclays.co.uk
O1 - Hosts: 220.232.149.248 www.barclays.co.uk
O1 - Hosts: 220.232.149.248 www.nwolb.com
O1 - Hosts: 220.232.149.248 nwolb.com
O1 - Hosts: 220.232.149.248 hsbc.co.uk
O1 - Hosts: 220.232.149.248 www.hsbc.co.uk
O1 - Hosts: 220.232.149.248 abbey.com
O1 - Hosts: 220.232.149.248 www.abbey.com
O1 - Hosts: 220.232.149.248 www.abbey.co.uk
O1 - Hosts: 220.232.149.248 abbey.co.uk
O1 - Hosts: 220.232.149.248 cahoot.com
O1 - Hosts: 220.232.149.248 www.cahoot.com
O1 - Hosts: 220.232.149.248 www.cahoot.co.uk
O1 - Hosts: 220.232.149.248 cahoot.co.uk
O1 - Hosts: 220.232.149.248 www.co-operativebank.co.uk
O1 - Hosts: 220.232.149.248 co-operativebank.co.uk
O1 - Hosts: 220.232.149.248 www.co-operativebank.com
O1 - Hosts: 220.232.149.248 co-operativebank.com
O1 - Hosts: 220.232.149.248 welcome2.co-operativebankonline.co.uk
O1 - Hosts: 220.232.149.248 welcome6.co-operativebankonline.co.uk
O1 - Hosts: 220.232.149.248 welcome8.co-operativebankonline.co.uk
O1 - Hosts: 220.232.149.248 welcome10.co-operativebankonline.co.uk
O1 - Hosts: 220.232.149.248 www.smile.co.uk
O1 - Hosts: 220.232.149.248 smile.co.uk
O1 - Hosts: 220.232.149.248 www.cajamar.es
O1 - Hosts: 220.232.149.248 cajamar.es
O1 - Hosts: 220.232.149.248 www.cajamar.com
O1 - Hosts: 220.232.149.248 cajamar.com
O1 - Hosts: 220.232.149.248 www.unicaja.es
O1 - Hosts: 220.232.149.248 unicaja.es
O1 - Hosts: 220.232.149.248 www.unicaja.com
O1 - Hosts: 220.232.149.248 unicaja.com
O1 - Hosts: 220.232.149.248 www.caixagalicia.es
O1 - Hosts: 220.232.149.248 caixagalicia.es
O1 - Hosts: 220.232.149.248 www.caixagalicia.com
O1 - Hosts: 220.232.149.248 caixagalicia.com
O1 - Hosts: 220.232.149.248 activa.caixagalicia.es
O1 - Hosts: 220.232.149.248 www.caixapenedes.es
O1 - Hosts: 220.232.149.248 caixapenedes.es
O1 - Hosts: 220.232.149.248 www.caixapenedes.com
O1 - Hosts: 220.232.149.248 caixapenedes.com
O1 - Hosts: 220.232.149.248 bancae.caixapenedes.com
O1 - Hosts: 220.232.149.248 www.caixasabadell.es
O1 - Hosts: 220.232.149.248 caixasabadell.es
O1 - Hosts: 220.232.149.248 www.caixasabadell.net
O1 - Hosts: 220.232.149.248 caixasabadell.net
O1 - Hosts: 220.232.149.248 www.cajamadrid.es
O1 - Hosts: 220.232.149.248 cajamadrid.es
O1 - Hosts: 220.232.149.248 www.cajamadrid.com
O1 - Hosts: 220.232.149.248 cajamadrid.com
O1 - Hosts: 220.232.149.248 oi.cajamadrid.es
O1 - Hosts: 220.232.149.248 www.ccm.es
O1 - Hosts: 220.232.149.248 ccm.es
O1 - Hosts: 220.232.149.248 www.haspa.de
O1 - Hosts: 220.232.149.248 haspa.de
O1 - Hosts: 220.232.149.248 ssl2.haspa.de
O1 - Hosts: 220.232.149.248 www.dresdner-bank.de
O1 - Hosts: 220.232.149.248 dresdner-bank.de
O1 - Hosts: 220.232.149.248 www.dresdner-privat.de
O1 - Hosts: 220.232.149.248 postbank.de
O1 - Hosts: 220.232.149.248 www.postbank.de
O1 - Hosts: 220.232.149.248 banking.postbank.de
O1 - Hosts: 220.232.149.248 www.sparda-b.de
O1 - Hosts: 220.232.149.248 sparda-b.de
O1 - Hosts: 220.232.149.248 www.bankingonline.de
O1 - Hosts: 220.232.149.248 www.raiffeisenbank-erding.de
O1 - Hosts: 220.232.149.248 raiffeisenbank-erding.de
O1 - Hosts: 220.232.149.248 www.vr-networld-ebanking.de
O1 - Hosts: 220.232.149.248 vr-networld-ebanking.de
O1 - Hosts: 220.232.149.248 www.bnhof.de
O1 - Hosts: 220.232.149.248 bnhof.de
O1 - Hosts: 220.232.149.248 www.deutsche-bank.de
O1 - Hosts: 220.232.149.248 deutsche-bank.de
O1 - Hosts: 220.232.149.248 meine.deutsche-bank.de
O1 - Hosts: 220.232.149.248 www.citibank.de
O1 - Hosts: 220.232.149.248 citibank.de
O1 - Hosts: 220.232.149.248 www.dkb.de
O1 - Hosts: 220.232.149.248 dkb.de
O1 - Hosts: 220.232.149.248 www.sparkasse-regensburg.de
O1 - Hosts: 220.232.149.248 sparkasse-regensburg.de
O1 - Hosts: 220.232.149.248 www.berliner-bank.de
O1 - Hosts: 220.232.149.248 berliner-bank.de
O1 - Hosts: 220.232.149.248 www.berliner-sparkasse.de
O1 - Hosts: 220.232.149.248 berliner-sparkasse.de
O1 - Hosts: 220.232.149.248 www.wellsfargo.com
O1 - Hosts: 220.232.149.248 wellsfargo.com
O1 - Hosts: 220.232.149.248 www.bankofamerica.com
O1 - Hosts: 220.232.149.248 bankofamerica.com
O1 - Hosts: 220.232.149.248 www.usbank.com
O1 - Hosts: 220.232.149.248 usbank.com
O1 - Hosts: 220.232.149.248 www.bankone.com
O1 - Hosts: 220.232.149.248 bankone.com
O1 - Hosts: 220.232.149.248 www.citibank.com
O1 - Hosts: 220.232.149.248 citibank.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [CheckDialer] C:\Archivos de programa\Hispasec\CheckDialer\ChkDial.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1148924836101
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8EDB003-E365-4E73-99C9-087FD3AB34AB}: NameServer = 80.58.61.250 80.58.61.254
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINNT\MSmedia.exe (file missing)

eliminé esos hosts pero me vuelven a salir, supongo que abrá que eliminar su raíz, pero ni idea.
Muchas gracias

Hola!!!

Abre HijackThis, pulsa sobre “Open the Misc Tools section” -> “Open hosts file manager”

Y elimina (Delete line(s)) todas las entradas que comiencen por 220.232.149.248

Después sigue estos pasos:

1) Ver archivos ocultos

2) Reinicia a prueba de fallos

3) Ejecuta HijackThis con todos los programas cerrados y dale Fix checked a:

O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINNT\MSmedia.exe (file missing)

4) Busca y elimina este archivo:

C:\WINNT\MSmedia.exe

Para archivos que no se dejen eliminar usa KillBox

5) Reinicia normal y finaliza con estos pasos:

• Pasa al menos 2 de estos Antivirus Online
• Limpia el registro con RegSeeker y pasa Ad-Aware actualizado.
• Elimina cookies y temporales con Disk Cleaner y vacía la papelera.

Vuelve a reiniciar y nos cuentas los resultados.

Saludos

Siento no haber respondido, al final se me colgó y no hubo manera de iniciar Windows, así que tuve que formatear pero sigo teniendo el proceso MSmedia.exe. Busqué el archivo por todo mi pc y no aparece, ¿qué es?No puede ser el Macromedia Shockwave?

El proceso MSmedia.exe pertenece a un gusano llamado W32/Tilebot-BG

Puedes seguir los pasos del enlace para eliminarlo.

Dices que sigue apareciendo tras formatear ¿estás seguro que formateaste o simplemente reinstalaste?

En caso de formatear ¿qué programas has instalado en tu pc tras formatear?

Deja un nuevo log de HijackThis...

Saludos

Formateé, nada de reinstalar, además lo hice yo misma. Madre mia :/ ahí va el log. Pero ya eliminé la entrada de MSmedia.exe en modo a prueba de errores con el Hijackthis, aunque el archivo no está en C:/WINNT y no tengo los archivos ocultos.Muchas gracias
__________________________________________________ _____________
Logfile of HijackThis v1.99.1
Scan saved at 16:54:06, on 06/06/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\CTSvcCDA.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\MSmedia.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\Explorer.EXE
C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
C:\Archivos de programa\Hispasec\CheckDialer\ChkDial.exe
C:\Archivos de programa\Creative\ShareDLL\MediaDet.Exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\mIRC\mirc.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\HJT\HijackThis.exe
C:\WINNT\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Detector de disco] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CheckDialer] C:\Archivos de programa\Hispasec\CheckDialer\ChkDial.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1148069633955
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/pro...anner37840.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DCD4BBA-ED02-454B-AA75-3A2651766A90}: NameServer = 80.58.61.250 80.58.61.254
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTSvcCDA.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINNT\MSmedia.exe

Ve a Inicio-> Ejecutar escribe services.msc -> Aceptar

Ahí busca MicroSoft Media Tools le das clic derecho y presiona en Detener

Luego pulsa en "Propiedades" y en tipo de inicios selecciona Deshabilitado, le das a aplicar y aceptar.

Abre HijackThis, pulsa sobre “Open the Misc Tools section” -> “Delete an NT service...” -> Ahí escribe MicroSoft Media Tools y presiona Aceptar

Ejecuta KillBox, selecciona la opción "Delete on Reboot" y donde dice "Full Path of File to Delete" escribe:

C:\WINNT\MSmedia.exe

Y presiona en el circulo rojo con aspa blanca.

Te pedirá reiniciar, permítelo.

Una vez hayas reiniciado nos copias un nuevo log para ver cómo quedó.

Saludos

Logfile of HijackThis v1.99.1
Scan saved at 16:19:04, on 07/06/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\CTSvcCDA.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
C:\Archivos de programa\Hispasec\CheckDialer\ChkDial.exe
C:\Archivos de programa\Creative\ShareDLL\MediaDet.Exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Detector de disco] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CheckDialer] C:\Archivos de programa\Hispasec\CheckDialer\ChkDial.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1148069633955
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37840.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DCD4BBA-ED02-454B-AA75-3A2651766A90}: NameServer = 80.58.61.250 80.58.61.254
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTSvcCDA.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

____________________________________________
Hecho, de todas formas el SpyBot me detecta una infección "Alexa", puede ser? la eliminé y me sigue saliendo, además en el SpyBot me dice que es "O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm" Vaya lío. Gracias Jereque, como siempre

Sí efectivamente, esas 2 entradas O9 pertenecen a Alexa (no es nada grave), sólo da fix checked:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

Y elimina el archivo:

C:\WINNT\web\related.htm

Luego nos cuentas cómo va todo para poder dar el tema por solucionado.

Saludos

Logfile of HijackThis v1.99.1
Scan saved at 19:41:33, on 08/06/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\CTSvcCDA.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
C:\Archivos de programa\Hispasec\CheckDialer\ChkDial.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Detector de disco] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CheckDialer] C:\Archivos de programa\Hispasec\CheckDialer\ChkDial.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1148069633955
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37840.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DCD4BBA-ED02-454B-AA75-3A2651766A90}: NameServer = 80.58.61.250 80.58.61.254
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTSvcCDA.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

__________________________________________________ __

Solucionado queda, muchísimas gracias Jereque

El log está completamente limpio, así que si no hay más problemas damos el tema por solucionado.

Saludos