Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola, y antes de nada, gracias por intentar ayudarnos. Estoy desesperado, el pc me va lentísisisisismo, mi página de inicio es siempre about:blank, tengo un firewall instalado (Sygate Personal Firewall), y cada vez que intento entrar en internet, me saca una ventana avisándome de que internet explorer quiere abrir crl.verisign.com o a veces u47.cc[195.225.176.29]. Termina siempre por bloquearseme el equipo y no me deja ni reiniciar (estoy harto de resetear). Tengo instalado Norton 2003 Antivirus, Ad-Aware SE Personal, CWShredder, Spybot - Search & Destroy, SpywareBlaster, AboutBuster, HijackThis, todos ellos las ultimas versiones y totalmente actualizados, así como Windows 2000 tambien actualizado. Ya no se que hacer y lo peor es que mi pc es mi herramienta de trabajo, llevo dos dias sin poder hacer nada de nada. Aquí les dejo mi log de Hijackthis por si pueden ayudarme, muchísimas gracias.

Logfile of HijackThis v1.99.1
Scan saved at 16:38:19, on 10/05/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Archivos de programa\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\netdn32.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Archivos de programa\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\mfcpa.exe
C:\ARCHIV~1\LEXMAR~1\ACMonitor_X73.exe
C:\ARCHIV~1\LEXMAR~1\AcBtnMgr_X73.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINNT\system32\internat.exe
C:\Archivos de programa\Telefonica\Kit ADSL USB\DSLMON.exe
C:\Archivos de programa\VIA\RAID\raid_tool.exe
C:\Hjt\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\yzkli.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\yzkli.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\yzkli.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\yzkli.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\yzkli.dll/sp.html#44768
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\yzkli.dll/sp.html#44768
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = www.google.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = www.google.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {49C1683E-27DB-0540-F028-2481708894B3} - C:\WINNT\netnm.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Archivos de programa\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [Coke Configuration Loader] coke.exe
O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [startup] C:\WINNT\system32\winlogon32.exe
O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
O4 - HKLM\..\Run: [mfcpa.exe] C:\WINNT\system32\mfcpa.exe
O4 - HKLM\..\Run: [Lexmark X73 Button Monitor] C:\ARCHIV~1\LEXMAR~1\ACMonitor_X73.exe
O4 - HKLM\..\Run: [Lexmark X73 Button Manager] C:\ARCHIV~1\LEXMAR~1\AcBtnMgr_X73.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray. exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\RunServices: [Coke Configuration Loader] coke.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [spoolserv] spoolserv.exe
O4 - HKCU\..\Run: [iexplorere loader] iexplorere.exe
O4 - HKCU\..\Run: [netservices] svchostn.exe
O4 - HKCU\..\Run: [WindowsNTKERNAL Drives] ntkernel.exe
O4 - HKCU\..\Run: [Coke Configuration Loader] coke.exe
O4 - HKCU\..\Run: [System Information Manager] Navcpe.exe
O4 - HKCU\..\Run: [WINT] C:\WINNT\system32\wcpsvtr.exe
O4 - HKCU\..\Run: [Microsoft Synchronization Manager] svhost.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Consola KIT ADSL.lnk = C:\Archivos de programa\Telefonica\Kit ADSL USB\DSLMON.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Archivos de programa\VIA\RAID\raid_tool.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by10fd.bay10.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8DCC6FCA-9C17-49A8-B360-DAAAAB27DA09}: NameServer = 80.58.0.33,80.58.32.97
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\sysxe.exe (file missing)
O23 - Service: Apache - Unknown owner - C:\Archivos de programa\Apache Group\Apache\Apache.exe" --ntservice (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

Te doy la bienvenida al Foro de Spyware, realiza los siguientes procedimientos

Paso 1- Inicia en modo normal

Paso 2- Descarga la herramienta:TZ-Kill.inf en la misma carpeta creada para el HijackThis

Paso 3- Hacer click derecho sobre el archivo "TZ-Kill.inf" y en el menu que despliega presionar en "Install" o "Instalar" (automáticamente eliminara las entradas "015 - Trusted Zone"

Paso 4- Con todos los programas cerrados ejecuta el HijackThis y dale "FIX Cheked" a estas entradas:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\yzkli.dll/sp.html#44768

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\yzkli.dll/sp.html#44768

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\yzkli.dll/sp.html#44768

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\yzkli.dll/sp.html#44768

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\yzkli.dll/sp.html#44768

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\yzkli.dll/sp.html#44768

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {49C1683E-27DB-0540-F028-2481708894B3} - C:\WINNT\netnm.dll

O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [Coke Configuration Loader] coke.exe

O4 - HKLM\..\Run: [startup] C:\WINNT\system32\winlogon32.exe

O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

O4 - HKLM\..\Run: [mfcpa.exe] C:\WINNT\system32\mfcpa.exe

O4 - HKLM\..\RunServices: [Coke Configuration Loader] coke.exe

O4 - HKCU\..\Run: [spoolserv] spoolserv.exe
O4 - HKCU\..\Run: [iexplorere loader] iexplorere.exe
O4 - HKCU\..\Run: [netservices] svchostn.exe
O4 - HKCU\..\Run: [Coke Configuration Loader] coke.exe
04 - HKCU\..\Run: [WindowsNTKERNAL Drives] ntkernel.exe
O4 - HKCU\..\Run: [System Information Manager] Navcpe.exe
O4 - HKCU\..\Run: [WINT] C:\WINNT\system32\wcpsvtr.exe
O4 - HKCU\..\Run: [Microsoft Synchronization Manager] svhost.exe

O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted IP range: 206.161.125.149

Paso 5- Reinicia eh inicia en "Modo a prueba de fallos" (modo seguro)

Paso 6- Prende la opción de "Ver archivos ocultos y del sistema"

Paso 7- Busca y elimina estos archivos manualmente (aunque puede que alguno no este)

C:\WINNT\yzkli.dll
C:\WINNT\netnm.dll
C:\WINNT\coke.exe
C:\WINNT\spoolserv.exe
C:\WINNT\system32\wcpsvtr.exe
C:\WINNT\system32\winlogon32.exe
C:\WINNT\system32\mfcpa.exe

Paso 8- Usa el Disk Cleaner para limpiar cookies y temporales

Paso 9- Pásale Ad-Aware SE actualizado eh instala SpywareBlaster 3.3

Paso 10- Reinicia y ejecuta un análisis con "Trend Antivirus Online"

Paso 11- Reinicia y después nos contas los resultados.

Salu2

Muchisimas gracias ElPiedra, lo he hecho todo y de momento me funciona a la perfección. Si tengo algún cambio (espero qeu no) te lo remito aqui, pero muchisimas gracias de verdad, estaba ya desesperdo. Un Saludo.