Me apareció en la pantalla una alerta de virus de origen desconocido. El IEXPLORE.EXE se ve redirigido a una página que promete escanear el disco duropara librarlo de virus, me aparece una alerta de que tengo 24 virus en pantalla y el proceso del título se pone en marcha visto desde el administrador de tareas, y por más que lo finalizo aparece de nuevo. No me deja acceder a Internet (este es un intento a ver si me lo deja pasar), pero no he podido conectarme con Karspersky ni con Panda.

El Norton me detecta tres amenazas que no puede eliminar y el hijackthis me indica esto:

Logfile of HijackThis v1.99.1
Scan saved at 0:37:01, on 15/06/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\VirusBlast\VirusBlast.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\VirusBlast\VirusBlast.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\TerraTec\DMX 6fire\DMX6Fire.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\NMain.exe
C:\ARCHIV~1\NORTON~1\navw32.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: IEExtension Class - {1F6FE2C2-6040-4645-9053-7F689AFFE176} - C:\Archivos de programa\VirusBlast\BlastIEmonitor.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Nothing - {686a161d-5bd1-4999-8832-6393f41e564c} - C:\WINDOWS\System32\hp100.tmp
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 7
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [StorageGuard] "C:\Archivos de programa\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [VirusBlast] C:\Archivos de programa\VirusBlast\VirusBlast.exe /s
O4 - HKLM\..\Run: [SpywareQuake.com] C:\Archivos de programa\SpywareQuake.com\Spyware-Quake.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F05A552-0B24-46DC-B8DA-8059B152D835}: NameServer = 80.58.61.250 80.58.61.254
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

¿Qué se puede hacer?

Gracias anticipadas.

Hola!!!

Descarga DelPSGuard v 4.0.8 pero no lo ejecutes aún.

Desde Agregar/Quitar Programas desinstala si está:

SpywareQuake
VirusBlast

Sigue estos pasos:

1) Apaga Restaurar Sistema

2) Ver archivos ocultos

3) Reinicia a prueba de fallos

4) Ejecuta HijackThis con todos los programas cerrados y dale Fix checked a:

O2 - BHO: IEExtension Class - {1F6FE2C2-6040-4645-9053-7F689AFFE176} - C:\Archivos de programa\VirusBlast\BlastIEmonitor.dll

O2 - BHO: Nothing - {686a161d-5bd1-4999-8832-6393f41e564c} - C:\WINDOWS\System32\hp100.tmp

O4 - HKLM\..\Run: [VirusBlast] C:\Archivos de programa\VirusBlast\VirusBlast.exe /s

O4 - HKLM\..\Run: [SpywareQuake.com] C:\Archivos de programa\SpywareQuake.com\Spyware-Quake.exe /h

O2 - BHO: IEExtension Class - {1F6FE2C2-6040-4645-9053-7F689AFFE176} - C:\Archivos de programa\VirusBlast\BlastIEmonitor.dll

O2 - BHO: Nothing - {686a161d-5bd1-4999-8832-6393f41e564c} - C:\WINDOWS\System32\hp100.tmp

O4 - HKLM\..\Run: [VirusBlast] C:\Archivos de programa\VirusBlast\VirusBlast.exe /s

O4 - HKLM\..\Run: [SpywareQuake.com] C:\Archivos de programa\SpywareQuake.com\Spyware-Quake.exe /h

5) Busca y elimina estos archivos y/o carpetas con todo su contenido:

C:\Archivos de programa\VirusBlast\
C:\WINDOWS\System32\hp100.tmp
C:\Archivos de programa\SpywareQuake.com\

Para archivos que no se dejen eliminar usa KillBox

6) En modo seguro o a prueba de fallos, ejecuta DelPSGuard y guarda el reporte que te genere.

7) Reinicia normal y finaliza con estos pasos:

• Pasa al menos 2 de estos Antivirus Online
• Limpia el registro con RegSeeker y pasa Ad-Aware actualizado.
• Elimina cookies y temporales con Disk Cleaner y vacía la papelera.

Vuelve a reiniciar, deshaz los cambios 1) y 2) y nos cuentas los resultados.

Deja un nuevo log de HijackThis y el reporte de DelPSGuard.

Saludos

Hola, Jereque:

El resultado ha sido el siguiente:

- DelPSGuard parece que se ejecutó pero antes de aparecer el reporte o resumen desapareció de la pantalla con lo que tuve que reiniciar. Lo hice dos veces con idéntico resultado.

- Pasé el Panda on-line, que detectó cosas pero no resolvió nada, su reporte es:


Incidencia
Estado
Elemento

+Spyware:Cookie/SecurityError
No desinfectado
C:\Documents and Settings\usuario\Cookies\usuario@www.safetyuptodat e[2].txt
+Adware:adware/spywarequake
No desinfectado
C:\WINDOWS\system32\1024\ld406D.tmp
+Adware:Adware/SpywareQuake
No desinfectado
C:\WINDOWS\system32\1024\ld7B17.tmp
+Adware:Adware/SpywareQuake
No desinfectado
C:\WINDOWS\system32\1024\ld940E.tmp



- Ewido dio el siguiente resultado, y desinfectó:

__________________________________________________
ewido security suite online scanner
http://www.ewido.net
__________________________________________________


Name: Trojan.Small
Path: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\explorer\run\\kernel32.dll
Risk: High

Name: Trojan.Small
Path: C:\Archivos de programa\Media-Codec
Risk: High

Name: Trojan.Small
Path: C:\Archivos de programa\Media-Codec\uninst.exe
Risk: High

Name: Trojan.Small
Path: C:\WINDOWS\system32\1024
Risk: High

Name: Trojan.Small
Path: C:\WINDOWS\system32\1024\ld406D.tmp
Risk: High

Name: Trojan.Small
Path: C:\WINDOWS\system32\1024\ld460A.tmp
Risk: High

Name: Trojan.Small
Path: C:\WINDOWS\system32\1024\ld51E3.tmp
Risk: High

Name: Trojan.Small
Path: C:\WINDOWS\system32\1024\ld585B.tmp
Risk: High

Name: Trojan.Small
Path: C:\WINDOWS\system32\1024\ld7B17.tmp
Risk: High

Name: Trojan.Small
Path: C:\WINDOWS\system32\1024\ld940E.tmp
Risk: High



- Karspersky dejó el siguiente reporte:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Saturday, February 04, 2006 17:17:46
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 4/02/2006
Kaspersky Anti-Virus database records: 164124
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\

Scan Statistics:
Total number of scanned objects: 163367
Number of viruses found: 3
Number of infected objects: 5
Number of suspicious objects: 0
Duration of the scan process: 9335 sec

Infected Object Name - Virus Name
C:\Archivos de programa\Norton AntiVirus\Quarantine\5FF420DD Infected: Trojan-Clicker.Win32.NoName.a
C:\Archivos de programa\Norton AntiVirus\Quarantine\767D2BAF Infected: Trojan.Win32.Dialer.cj
C:\Archivos de programa\Norton AntiVirus\Quarantine\7713370A Infected: Trojan.Win32.Dialer.cj
F:\System Volume Information\_restore{C7E7D3A9-6C16-4B7B-8365-A7BAC18A8494}\RP4\A0006698.exe/msger.exe Infected: Backdoor.Win32.Rbot.fe
F:\System Volume Information\_restore{C7E7D3A9-6C16-4B7B-8365-A7BAC18A8494}\RP4\A0006698.exe Infected: Backdoor.Win32.Rbot.fe

Scan process completed.



- Hijackthis ahora queda así:

Logfile of HijackThis v1.99.1
Scan saved at 21:19:08, on 16/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe
C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Archivos de programa\TerraTec\DMX 6fire\DMX6Fire.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 7
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Archivos de programa\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english...an_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F05A552-0B24-46DC-B8DA-8059B152D835}: NameServer = 80.58.61.250 80.58.61.254
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

Por lo visto sólo ewido hizo algo, pero no sé qué hay que hacer ahora con estos datos, aunque me parece que ha mejorado porque puedo acceder a Internet sin problema, y el Panel de Control aparece conectado de nuevo al sistema (antes sólo se podía acceder por los accesorios y buscando el programa de desinstalación o el de restauración de sistema separadamente, así que gracias por tu ayuda pero como Karsperky aún encontró cosas espero tu respuesta, para dejarlo limpio por completo.

Atentamente,
Loquita

Mientras esperaba tu respuesta, volví a pasar el antivirus que tengo, el Norton 2004 actualizado, y ya no me dio los mensajes de intrusos antiguos, pero apareció esto:

Fuente: C:\Archivos de programa\HJT\backups\backup-20060615-124449-215.dll es una amenaza de Publibidad no deseada.

Información sobre esta amenaza: Adware.StartPage.

Al guardar los logs de Hijackthis ya me había dado cuenta de que los backups de HJT suelen ser de 1 Kb y había un par cuyo volumen era superior.

¿Puede ser que el adware que me infectó, al no poder anclarse en la restauración de sistema, se refugiara en el backup del HJT?

Es que jamás me había pasado que el Norton se quejara de los archivos del Hijackthis y me ha dejado alucinada...

Por otra parte, Spybot, me ha detectado ZLob.Downloader como problema a solucionar, y me lo ha reparado. La cuestión es que desde la infección por dos veces que he pasado el programa de análisis ha encontrado lo mismo, me dice que lo ha reparado y al analizar de nuevo, vuelve a detectarlo como infección.

Saludos y hasta luego.

Bien, elimina esta carpeta con todo su contenido:

C:\Archivos de programa\Media-Codec\

Descarga la versión v 4.0.9 de DelPSGuard y ejecutalo a prueba de fallos o en modo seguro. Es que hubo un problema con la anterior versión, asi que se actualizó para corregirlo.

En cuanto a los backups de HijackThis, no tienen un tamaño estandar, depende de las entradas que hayas eliminado, y es normal que a veces el antivirus detecte malware alli, pero eso no significa que el malware se esté ocultando alli. Limpia los backups de HijackThis: Abre HijackThis, pulsa sobre “Open the Misc Tools section” -> "Backups" -> "Delete all"

Limpia tambien los backups de tu antivirus y elimina los puntos de restauración, apagando restaurar sistema y luego volviendo a activarlo.

En cuanto a lo que te detecta SpyBot ¿Qué es exactamente lo que te detecta y dónde te lo detecta?

No olvides dejar el reporte de DelPSGuard y comentarnos los resultados.

Saludos

Hola Jereque:

-El archivo media codec fue eliminado por ewido.
-DelPSGuard me dejó este reporte (aunque volviera a quedarse la pantalla en negro, al reiniciar apareció colgado del disco C: lo siguiente):

DelPSGuard v 4.0.8
Escaneo a las: 10:48:10,35, 19/06/2006
SO: Microsoft Windows XP [Versi¢n 5.1.2600]


»»»»»»»»»»»» Carpetas y Archivos infectados »»»»»»»»»»»»

Es decir, parece que no haya detectado nada.

-Eliminé los backups de Hijackthis como me dijiste, eliminé los archivos en cuarentena del Norton, pero no encontré ningún backup del mismo.

-El nombre del problema que me detectó Spybot era "ZLob.Downloader ", pero no indicaba dónde estaba colocado, de todas maneras después de pasar ewido ya no me lo detecta.

-He vuelto a eliminar los puntos de restauración.

-Ayer en una página segura, inmediatamente después de abrir, me pareció que el ordenador hizo una copia inmediata de la pantalla. Si esto es normal puede que el ordenador ya esté limpio.

-Si el reporte es correcto (aunque no sé como ha de ser)... y el ordenador está bien, me dices algo y damos el tema por cerrado.

Gracias de nuevo.

Hola!!!

Bueno, tuvimos un problema con el codigo de DelPSGuard, por lo que fue actualizado a la versión v 4.0.9, así que prueba a usar esa versión.

No entiendo qué quieres decir con esto, ¿podrias explicarlo?

Saludos

Hola de nuevo:

¿Sabes lo qué hace el ordenador en el momento en que abres un programa o lo cierras, que hace un parpadeo y tienes luego un archivo en documentos recientes en que te dice qué programa ha estado abierto?

Pues era un parpadeo similar, como si se fuera la luz de la pantalla y volviera a aparecer, justo tras el momento de abrir una página segura (como hubiera podido ser la página de un banco o similar). No sé si puede significar algo, sólo sé que antes me pareció que no ocurría.

Otra cosa en la que no había caído antes es que cuando solicito al iexplore.exe que se comunique con Internet el cortafuegos me avisa por dos veces de esa salida, como si fueran dos los programas que pidieran salir. Antes de la infección no había reparado en ello porque le tenía el acceso permitido por omisión al citado programa, cuando dejó de obedecer mis "órdenes" y en uno de los intentos de comunicarme con vosotros le cambié el parámetro al cortafuegos (que es el Zone Alarm).

Por otro lado, y teniendo todos los programas cerrados, hay dos archivos de la carpete Temp de la Configuración Local del usuario que no consigo borrar y que el Disckcleaner tampoco, se llaman:

-Perflib_Perfdata_ca8.dat de 16 Kb con fecha 20/06/06 modificado a las 12:26
-ZLT05a33.TMP DE 1 kB DEL 19/06/06 modificado 16:31

Por último el DelPSGuard no indicó que hubiera acabado la limpieza, sólo estaba el título de Carpeta y Archivos infectados sin ninguna indicación de la presencia de algo, y en su defecto no indicó que el sistema estuviera impoluto.

Si eso es normal debe ser que el ordenador está limpio, sino dime algo...

Saludos,

Bueno, lo de la página segura sigo sin saber exactamente que és, pero ese comportamiento puede que lo cause tu antivirus al analizar el tráfico https.

Sobre el cortafuegos, pues no tengo ninguna experiencia con Zone Alarm, así que tampoco te sabría decir, pero tampoco veo algo extraño ese doble aviso, supongo que sólo es cuestion de configuracion.

Sobre los temporales, pues es dificil determinar que programa/s usan esos archivos, pero es normal que si ese programa que los crea está en uso no los puedas eliminar.

Por lo demás si no hay más problemas damos el tema por solucionado.

Si sigues con problemas con tu cortafuegos, plantea mejor las dudas en el Subforo de Software para que alguien más indicado te pueda asesorar.

Saludos

Jereque:

Como no estaba segura de qué ocurría volví a pasar el ewido (no encontró nada) y el kaspersky, que encontró lo siguiente:

C:\Archivos de programa\Norton AntiVirus\Quarantine\19760BB6 Infected: Trojan-Downloader.Win32.Zlob.tl skipped

C:\WINDOWS\system32\simpole.tlb Infected: Trojan-Downloader.Win32.Zlob.tl skipped

Scan process completed.

¿Qué opinas?