Recibí archivo infectado con troyano. Eliminé infección con Spy Bot y Anti Virus Kaspersky (AVG anti virus no funcionó). Unica secuela es que redirecciona Explorer hacia web no deseada cada vez que inicio equipo. Resto parece limpio. Confirman análisis salud Ok actual (no virus ni espías, en principio) los programas Spyware Blaster, CW Shredder, Kaspersky y Spy Doctor, Spy Bot, que dicen PC está limpio. Unica solución actual para evitar cambio página inicio automático es fijar página inicio con editor del Registro de Windows. Me cuentan que puedo tener programa no deseado instalado para redireccionar página, que se instaló junto con troyano. Solución?
Logfile of HijackThis v1.99.1
Scan saved at 17:34:32, on 19/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Archivos de programa\Spyware Doctor\sdhelp.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Archivos de programa\Apoint2K\Apoint.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Archivos de programa\HPQ\Quick Launch Buttons\EabServr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 7.exe
C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Spyware Doctor\swdoctor.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Archivos de programa\Apoint2K\Apntex.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\HPQ\shared\hpqwmi.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=ES_ES&c=Q105&bd=presar io&pf=laptop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARCHIV~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar2.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Cpqset] C:\Archivos de programa\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [WatchDog] C:\Archivos de programa\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Archivos de programa\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Archivos de programa\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 7.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Drivers for Internet Explorer] C:\WINDOWS\accesweb.exe
O4 - HKLM\..\Run: [Microsoft winsupdater] WINSUPDATER.EXE
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Archivos de programa\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: DVD Check.lnk = C:\Archivos de programa\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Búsqueda en Google - res://c:\windows\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\windows\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\windows\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://c:\windows\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\windows\GoogleToolbar2.dll/cmbacklinks.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O15 - Trusted Zone: www.aaaesade.net
O15 - Trusted Zone: webmail.esade.net
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/es/check/qdiagh.cab?326
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\HPQ\shared\hpqwmi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Archivos de programa\Spyware Doctor\sdhelp.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

Hola Antonio O.,Bienvenido a Infospyware.


Descarga la herramienta IniRem en el escritorio de Windows y descomprímala,pero no la ejecutes aún.

Y tambien el Tz-Kill.inf(015)


Realiza todos los pasos sin saltarte ninguno,por favor.

Apaga tu ruter/moden y desconecta el cable de tf. de la torre.

Ver archivos ocultos en todos los Windows

Apagar Restaurar Sistema (Systema Restore)

Reinicia el PC en Modo a prueba de fallos

Pasa ahora el Tz-Kill.inf(015)


Ves al Panel de Control/ Agregar o Quitar Programas y desinstalas estos programas si existen:

SpyBro


Ejecuta el hijackthis y con todos lo programas cerrados marca las siguientes entradas y pulsa en FIX Checked:

O4 - HKLM\..\Run: [Drivers for Internet Explorer] C:\WINDOWS\accesweb.exe
O4 - HKLM\..\Run: [Microsoft winsupdater] WINSUPDATER.EXE
O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present


Sin reiniciar,busca y elimina estos archivos/carpetas.Utiliza el KillBox si no puedes eliminarlos.

Le vas poniendo que NO a reiniciar hasta que pongas el ultimo y ahi le pones que SI para que reinicie y elimine estos archivos infectados.

WINSUPDATER.EXE


Pasa estas herramientas:

IniRem

Ad-Aware 1.06 SE Personal

Disk Cleaner para limpiar cookis y temporales

RegSeeker para limpiar el registro y su manual pasalo varias veces hasta que ya no te salga nada.

Instálate el SpywareBlaster 3.4 manual


Reactiva la opción de restaurar el sistema,reinicias y te conectas a la red.

Y le pasas 2 antivirus online,el ewido y el Trend Micro.


Pones otro log para ver como esta todo y nos cuentas los resultados.

*Si tienes alguna duda,te puedes imprimir las instrucciones.

saludos

Muchas gracias amigo y gracias a todo el foro. Creo que funciona. Y además muy bien.
No hay nada como dejar esto en manos de gente experta.
Salud a todos...

Re: eviatr el cambio de página inicio automático en Explorer

--------------------------------------------------------------------------------

Hola Antonio O.,Bienvenido a Infospyware.


Descarga la herramienta IniRem en el escritorio de Windows y descomprímala,pero no la ejecutes aún.

Y tambien el Tz-Kill.inf(015)


Realiza todos los pasos sin saltarte ninguno,por favor.

Apaga tu ruter/moden y desconecta el cable de tf. de la torre.

Ver archivos ocultos en todos los Windows

Apagar Restaurar Sistema (Systema Restore)

Reinicia el PC en Modo a prueba de fallos

Pasa ahora el Tz-Kill.inf(015)


Ves al Panel de Control/ Agregar o Quitar Programas y desinstalas estos programas si existen:

SpyBro


Ejecuta el hijackthis y con todos lo programas cerrados marca las siguientes entradas y pulsa en FIX Checked:

O4 - HKLM\..\Run: [Drivers for Internet Explorer] C:\WINDOWS\accesweb.exe
O4 - HKLM\..\Run: [Microsoft winsupdater] WINSUPDATER.EXE
O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present


Sin reiniciar,busca y elimina estos archivos/carpetas.Utiliza el KillBox si no puedes eliminarlos.

Le vas poniendo que NO a reiniciar hasta que pongas el ultimo y ahi le pones que SI para que reinicie y elimine estos archivos infectados.

WINSUPDATER.EXE


Pasa estas herramientas:

IniRem

Ad-Aware 1.06 SE Personal

Disk Cleaner para limpiar cookis y temporales

RegSeeker para limpiar el registro y su manual pasalo varias veces hasta que ya no te salga nada.

Instálate el SpywareBlaster 3.4 manual


Reactiva la opción de restaurar el sistema,reinicias y te conectas a la red.

Y le pasas 2 antivirus online,el ewido y el Trend Micro.


Pones otro log para ver como esta todo y nos cuentas los resultados.

*Si tienes alguna duda,te puedes imprimir las instrucciones.

saludos
__________________