Hola a todos, tengo un pekeño problema kon aun malware ke se mete en ...\system32. El problema es el siguiente:Ejekuto el Ad-aware SE y me sale este malware kon diferentes nombres y extensiones, entre ellas: p2p6lc7s1f.dll; sbrialui.dll; guard.tmp y muchos otras .dll y .tmp. Al intentar eliminarlos me da un error, xq esta siendo utulizado(supongo ke estara entre los procesos, pero no se kual es). Elimino todos los demas spyware ke hay, y al volver a ejekutar el Ad-Aware me vuelven a aparecer 20 mas. Kon el antivirus me pasa lo mismo,es decir no lo elimina (uso norton-antivirus). Si sirve de algo(me llamo la atención) el fabrikante que aparece es VX2. Adjunto log del hijack por si facilita la labor:

Logfile of HijackThis v1.99.0
Scan saved at 20:49:29, on 03/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\lqofdaai5.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe
C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\Aihnlc.exe
C:\WINDOWS\System32\hnmiwumn.exe
C:\WINDOWS\svchst.exe
C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\Oscar\CONFIG~1\Temp\Rar$EX00.015\Hijac kThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O2 - BHO: (no name) - {583F2539-AE7A-88E3-67DF-E84B7477DCDF} - C:\WINDOWS\System32\mafxpnfu.dll
O2 - BHO: (no name) - {5C3E6CDF-5E1B-B3D6-E4EC-3037B8934494} - C:\WINDOWS\System32\otabyxmn.dll
O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [scvhost] C:\Archivos de programa\Wiretap Professional\scvhost.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 7
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\hpjwtqm.exe
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\ndgojsx.exe
O4 - HKLM\..\Run: [`KQQR_ZaT[\IP] C:\WINDOWS\System32\umhucanxrliu.exe
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\system32\defragfatz.exe
O4 - HKLM\..\Run: [AIM95 Startup] aim95.exe
O4 - HKLM\..\Run: [Norton Personal Firewall] npfw32.exe
O4 - HKLM\..\Run: [Windows media service] crsss.exe
O4 - HKLM\..\Run: [6wfKR] C:\WINDOWS\qmudkao.exe
O4 - HKLM\..\Run: [version] C:\WINDOWS\System32\Ylopzg.exe
O4 - HKLM\..\Run: [secure] C:\WINDOWS\System32\Aihnlc.exe
O4 - HKLM\..\Run: [ycfmnrk] c:\windows\system32\ycfmnrk.exe
O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe
O4 - HKLM\..\Run: [wbkb] C:\WINDOWS\wbkb.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [hnmiwumn] C:\WINDOWS\System32\hnmiwumn.exe
O4 - HKLM\..\Run: [MsnExplorer] C:\WINDOWS\svchst.exe /i
O4 - HKLM\..\Run: [clfmon] C:\WINDOWS\clfmon.exe
O4 - HKLM\..\Run: [nvsvca32] C:\WINDOWS\nvsvca32.exe
O4 - HKLM\..\RunServices: [AIM95 Startup] aim95.exe
O4 - HKLM\..\RunServices: [`KQQR_ZaT[\IP] C:\WINDOWS\System32\umhucanxrliu.exe
O4 - HKLM\..\RunServices: [Norton Personal Firewall] npfw32.exe
O4 - HKLM\..\RunServices: [Windows media service] crsss.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [AIM95 Startup] aim95.exe
O4 - HKCU\..\Run: [Windows media service] crsss.exe
O4 - HKCU\..\Run: [Norton Personal Firewall] npfw32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.co...s/MsnPUpld.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-es/es/games3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F7ED162-9930-426A-BA58-663AD7CC48B6}: NameServer = 80.58.61.250 80.58.61.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{6EF958C2-63B2-423E-BE6C-5C8870EA613D}: NameServer = 194.179.1.100,194.179.1.101
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F7ED162-9930-426A-BA58-663AD7CC48B6}: NameServer = 80.58.61.250 80.58.61.254
O18 - Filter: text/html - {5D77D76C-DB82-4503-A705-998F6D558AEB} - C:\Documents and Settings\Oscar\Configuración local\Datos de programa\microsoft\internet explorer\V0.26.dat
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Kkkifl32.dll
O21 - SSODL: mtkle - {3DEE8E6B-B5D7-4EB2-61AF-EFAF651615BD} - C:\WINDOWS\System32\aqsl32.dll (file missing)
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: wpxwivzurkpm - Unknown - C:\WINDOWS\System32\lqofdaai5.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SCA - Unknown - C:\WINDOWS\System32\SYSTEM.EXE (file missing)
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Kreo ke tb tengo redireccionamientos hacia otras paginas.
Estoy algo perdida asi ke si por favor podeis ayudarme os lo agradeceria mucho.
Gracias x adelantado
1Abrazo desde Tenerife(España)

Antes que nada te doy la bienvenida al Foro de Spyware, te comento que el malware que tenes se llama justamente VX2 y para poder eliminarlo vamos a usar el Ad-Aware SE actualizado que si no lo tenes lo podes descargar de la firma y un adicional a este.

Creale al HijackThis su propia carpeta con nombre por ej: HJT y cuando lo ejecutes que sea ahi dentro y con todos los programas cerrados

Empeza mirando el administrador de procesos con Ctrl+Shift+Esc y si hay cualquiera de estos cortalos

C:\WINDOWS\System32\lqofdaai5.exe
C:\WINDOWS\System32\Aihnlc.exe
C:\WINDOWS\System32\hnmiwumn.exe
C:\WINDOWS\svchst.exe

1- Apaga el "Restaurar Sistema"

2- Prende la opción de "Ver archivos ocultos y del sistema"

3- Descargate este plug-ing para Ad-Aware SE llamado VX2 Cleaner eh instálalo en tu Ad-Aware SE.

4- Abrí el Ad-Aware SE y anda al botón de "Complementos" ahi vas a ver el "VX2 Cleaner" lo marcas y le das a "Ejecutar" y espera que termine el proceso a ver si lo elimina y despues pasas el Ad-Aware Se actualizado de manera completa.

5- Ejecuta el HijackThis y dale a estas entradas:

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch

O2 - BHO: (no name) - {583F2539-AE7A-88E3-67DF-E84B7477DCDF} - C:\WINDOWS\System32\mafxpnfu.dll

O2 - BHO: (no name) - {5C3E6CDF-5E1B-B3D6-E4EC-3037B8934494} - C:\WINDOWS\System32\otabyxmn.dll

O4 - HKLM\..\Run: [scvhost] C:\Archivos de programa\Wiretap Professional\scvhost.exe

O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\hpjwtqm.exe
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\ndgojsx.exe
O4 - HKLM\..\Run: [`KQQR_ZaT[\IP] C:\WINDOWS\System32\umhucanxrliu.exe
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\system32\defragfatz.exe
O4 - HKLM\..\Run: [AIM95 Startup] aim95.exe
O4 - HKLM\..\Run: [Norton Personal Firewall] npfw32.exe
O4 - HKLM\..\Run: [Windows media service] crsss.exe
O4 - HKLM\..\Run: [6wfKR] C:\WINDOWS\qmudkao.exe
O4 - HKLM\..\Run: [version] C:\WINDOWS\System32\Ylopzg.exe
O4 - HKLM\..\Run: [secure] C:\WINDOWS\System32\Aihnlc.exe
O4 - HKLM\..\Run: [ycfmnrk] c:\windows\system32\ycfmnrk.exe
O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe
O4 - HKLM\..\Run: [wbkb] C:\WINDOWS\wbkb.exe

O4 - HKLM\..\Run: [hnmiwumn] C:\WINDOWS\System32\hnmiwumn.exe
O4 - HKLM\..\Run: [MsnExplorer] C:\WINDOWS\svchst.exe /i
O4 - HKLM\..\Run: [clfmon] C:\WINDOWS\clfmon.exe
O4 - HKLM\..\Run: [nvsvca32] C:\WINDOWS\nvsvca32.exe
O4 - HKLM\..\RunServices: [AIM95 Startup] aim95.exe
O4 - HKLM\..\RunServices: [`KQQR_ZaT[\IP] C:\WINDOWS\System32\umhucanxrliu.exe
O4 - HKLM\..\RunServices: [Norton Personal Firewall] npfw32.exe
O4 - HKLM\..\RunServices: [Windows media service] crsss.exe

O4 - HKCU\..\Run: [AIM95 Startup] aim95.exe
O4 - HKCU\..\Run: [Windows media service] crsss.exe
O4 - HKCU\..\Run: [Norton Personal Firewall] npfw32.exe

O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-es/es/games3.cab

O18 - Filter: text/html - {5D77D76C-DB82-4503-A705-998F6D558AEB} - C:\Documents and Settings\Oscar\Configuración local\Datos de programa\microsoft\internet explorer\V0.26.dat

O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Kkkifl32.dll

O21 - SSODL: mtkle - {3DEE8E6B-B5D7-4EB2-61AF-EFAF651615BD} - C:\WINDOWS\System32\aqsl32.dll (file missing)

6- Reinicia eh inicia en "Modo a prueba de fallos" (modo seguro)

7- Busca y elimina estos archivos manualmente

C:\WINDOWS\System32\lqofdaai5.exe
C:\WINDOWS\System32\Aihnlc.exe
C:\WINDOWS\System32\hnmiwumn.exe
C:\WINDOWS\svchst.exe

8- Usa el Disk Cleaner para limpiar cookies y temporales

9- Pásale Ad-Aware SE actualizado.

10- Reinicia y después nos contas los resultados.

Salu2

Ante todo, gracias por la rapidez de la respuesta, en ningun foro me habian kontestado tan rapido y tan kompleto. Ahora voy kon algunos problemillas ke tengo al poner en practika la forma de limpiarlo.
El proceso lqofdaai5.exe no puedo terminarlo, me da acceso denegado.
Soy algo nueva en esto de eliminar spyware, no enkuentro en el hijack el FIX Cheked :-( .
Kuando ejekuto el VX2 kleaner me aparece status: system clean(lo ke supongo ke ya lo a limpiado) pero al pasar de nuevo el Ad-adware me vuelve a salir.
X ultimo y no menos importante(jeje) se me kuelga muxo la makina y me cierra ciertas paginas ke kiero visitar(komo la de Vx2 kleaner donde tuve ke pegar el enlace para deskargarlo)es esto normal?
Muxas gracias LaPiedra x tu ayuda, ya ke la gente no suele prestar ayuda desinteresada kasi nunka. Kontigo se nota ke keda algo de humanidad en este mundo.
Muxas gracias x adelantado y un beso de una chicharrera desde Tenerife(Kanarias,España)

Holaaa je

Pega otro log del HijackThis para poder ver como ha quedado tu sistema ok.

Saludos

Bueno aparte de pegar después otro log de HijackThis aca para ver como quedo primero aplícale a las entradas que te mencione arriba.

Este es un botón del HijackThis que tiene en la parte inferior izquierda que primero dice "Scan" y después que termina da aparecer todo el log se convierte en

Así que primero con el mouse marcas las entradas en el cuadradito que tienen en la izquierda y después que están todas marcadas apretas una vez el botón se borran y te sale una opción para reinicia que le das aceptar.

Pero el tema es que tu Pc esta bastante infectado y va a estar difícil que puedas sacar todo de una sola vez.

Antes de usar el HijackThis tenes que cortar los procesos y para los que se resistan te descargas el programas llamado KillBox desde la firma y segui estos pasos.

Cuando este termine hace todo los del mensaje de arriba y después sacas un nuevo log con el HijackThis y lo pegas por aca.

Salu2