Hola amigos, espero me puedan ayudar con mis logs. Ya creo tener acorralado el problema, pero recurro a uds maestros para que evaluen mis logs y me comenten cuales son los pasos más indicados (en mi caso) para limpiar mi equipo y no ocupar una chorrera de programas.
Desde ya, muchas gracias.

El problema que tengo es que al usar IE6 despues de un rato se me abre una ventana (popup) anunanciando que me hizo un escaneo y que estoy infectado, invitandome a instalar un ActiveX para correr el winantivirus2006 pro. Se que esto es falso y por lo tanto nunca he aceptado instalar nada, por lo que cierro la ventana y ya, pero vuelve a insistir despues de un rato.
Lo sospechoso a mi criterio es lo siguiente:
O2 - BHO: (no name) - {ec33147c-10a4-49bc-9057-c57b7183a011} - C:\WINDOWS\system32\ltimrui.dll
O20 - Winlogon Notify: ltimrui - C:\WINDOWS\SYSTEM32\ltimrui.dll
Y como bonus, me gustaria saber si puedo sacar este otro sin provocarme problemas:
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

Pase el Hijackthis y el Ewido. Estos son los resultados:

Logfile of HijackThis v1.99.1
Scan saved at 1:49:40, on 25-06-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ARCHIV~1\NORTON~1\navapw32.exe
C:\Archivos de programa\DU Meter\DUMeter.exe
C:\Archivos de programa\Microsoft IntelliType Pro\type32.exe
C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe
C:\Archivos de programa\3M\PSNLite\PsnLite.exe
C:\ARCHIV~1\3M\PSNLite\PSNGive.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\ARCHIV~1\DVDREG~1\DVDRegionFree.exe
D:\Varios\AntiSpyware\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.cl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {ec33147c-10a4-49bc-9057-c57b7183a011} - C:\WINDOWS\system32\ltimrui.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [DU Meter] C:\Archivos de programa\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [type32] "C:\Archivos de programa\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"
O4 - Global Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Archivos de programa\3M\PSNLite\PsnLite.exe
O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1135876022985
O17 - HKLM\System\CCS\Services\Tcpip\..\{76A3042D-42FC-4789-979E-4FF96C127198}: NameServer = 200.30.193.33,192.168.0.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: ltimrui - C:\WINDOWS\SYSTEM32\ltimrui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

Y el Ewido:
__________________________________________________
ewido anti-malware online scanner
http://www.ewido.net
__________________________________________________


Name: Downloader.ConHook.aa
Path: [680] C:\WINDOWS\system32\ltimrui.dll
Risk: High

Name: Downloader.ConHook.aa
Path: [1556] C:\WINDOWS\system32\ltimrui.dll
Risk: High

Name: Downloader.ConHook.aa
Path: C:\WINDOWS\system32\ltimrui.dll
Risk: High

Name: Downloader.Harnig.bq
Path: D:\Varios\WGA Validation Tool PATCH\TWK - WinUpdate Patch.exe
Risk: High

GRACIAS!

Hola RichardMB,Bienvenido a Infospyware.

Descarga la herramienta VundoFix.exe en el escritorio de Windows y descomprímala,pero no la ejecutes aún.



Realiza todos los pasos sin saltarte ninguno,por favor.

Apaga tu ruter/moden y desconecta el cable de tf. de la torre.

Ver archivos ocultos en todos los Windows

Apagar Restaurar Sistema (Systema Restore)

Reinicia el PC en Modo a prueba de fallos


Ves al Panel de Control/ Agregar o Quitar Programas y desinstalas estos programas si existen:

Winantivirus 2006


Ejecuta el hijackthis y con todos lo programas cerrados marca las siguientes entradas y pulsa en FIX Checked:

O2 - BHO: (no name) - {ec33147c-10a4-49bc-9057-c57b7183a011} - C:\WINDOWS\system32\ltimrui.dll
O20 - Winlogon Notify: ltimrui - C:\WINDOWS\SYSTEM32\ltimrui.dll


Sin reiniciar,busca y elimina estos archivos/carpetas.Utiliza el KillBox si no puedes eliminarlos.

Le vas poniendo que NO a reiniciar hasta que pongas el ultimo y ahi le pones que SI para que reinicie y elimine estos archivos infectados.

C:\WINDOWS\system32\ltimrui.dll


Ejecuta ahora el VundoFix.exe y sigue las instrucciones que previamente te has imprimido.


Pasa estas herramientas:

Ad-Aware 1.06 SE Personal Actualizado.

Disk Cleaner para limpiar cookis y temporales

RegSeeker para limpiar el registro y su manual pasalo varias veces hasta que ya no te salga nada.


Instálate el SpywareBlaster 3.4 manual


Reactiva la opción de restaurar el sistema,reinicias y te conectas a la red.

Y le pasas 2 antivirus online,el ewido ( Ewido Anti-Malware 3.5 actualizado,si no puedes pasar el online) y el KARPESKY,por este orden y si hay algo que no te eliminen lo pones aquí con su ruta completa.


Pones otro log para ver como esta todo y nos cuentas los resultados.

*Si tienes alguna duda,te puedes imprimir las instrucciones.

La entrada que comentas, O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
es legítima y no hay que eliminarla.



La ubicación del hijackthis,no es la mas idónea.Eliminalo y despues le pasas el,
RegSeeker para limpiar el registro y su manual
pasalo varias veces hasta que ya no te salga nada. Y te bajas el nuevo HijackThis de aquí.

D:\Varios\AntiSpyware\Hijackthis\HijackThis.exe


saludos

Hola NeoByte y a todos los amigos lectores.
Antes que todo, gracias!. Hice todos los pasos que me diste y resulto perfecto. Ahora llevo usando IE por unas horas y no ha aparecido ninguna ventana, ademas de quedar el registro impecable.
Quede con algunas dudas que me gustaría plantear. Ojala puedan ser aclaradas, sino se agradece de igual forma.

1.- Luego de hacer los primeros pasos (Ver archivos ocultos, Apagar Restaurar Sistema, Reinicia el PC en Modo a prueba de fallos, Revisar si estaba Winantivirus 2006 en el panel de control [NO ESTABA]), ejecute Hijackthis (maque las opciones mencionadas y le di a "FIX Checked"). Luego elimine el archivo problematico (ltimrui.dll) con Killbox y ya!.
Luego reinicie y corri el VundoFix, pero aqui la duda. No detecto ninguna infección, así es que ÉL (VundoFix) no me sirvio en mi caso. Porque? Ya con el arreglo de Hijackthis + Killbox fue suficiente?.

2.- Instale SpywareBlaster 3.4, aplique actualizaciones y puse que activara todas las protecciones. Aqui mi duda:
Luego de hacer esto (o quizas antes, no estoy seguro), la barra de google que estaba en IE quedo desactivada, ni siquiera se podia activar nuevamente así que la desintale desde el panel de control y la volvi a instalar. Ahi se arreglo el problema, pero me quedo la duda ya que al instalarla me salio un aviso de que no podia activarse porque los BHO estaban desactivados (supongo que esa "protección" me la cambio el SpywareBlaster para que no se activaran programas malignos) y si queria instalar la barra google tenia que activar estos BHO (por supuesto los active para poder instalar la barra).
Entonces como conclusión, fue SpywareBlaster que me desactivo los BHO o no?. Que es mejor, siendo que ocupo mucho la barra google.

3.- Me imaginaba que la siguiente entrada era valida:
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
E igual pregunto: Aunque diga "file missing" y sea legitima esta entrada, es requerida realmente?.

4.- La última pregunta y no por eso menos importate. ¿COMO DIABLOS ME CONTAMINE CON ESTA PORQUERIA DE WINANTIVIRUS?. Estoy segurisimo no haber nunca aceptado instalar el ActiveX al aparecer dichosa ventana.
Entonces, como me llego?, email, exploit del explorer, como!?
Pregunto para que no me vuelva suceder. Como dato, no he hecho la última actualizacion de Windows Update, por falta de tiempo para bajar el último patch que esquiva el programita de Microsoft para verificar si la copia es legítima. Estara aqui la protección contra algun tipo de "sitio malicioso"?

No me queda mas que agradecer la ayuda del foro y sus miembros. Se han pasado y me ha quedado mas claro todo este tema.

PD: Aqui va el log del Hijackthis despues de pasar todo:
Logfile of HijackThis v1.99.1
Scan saved at 1:01:53, on 26-06-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ARCHIV~1\NORTON~1\navapw32.exe
C:\Archivos de programa\DU Meter\DUMeter.exe
C:\Archivos de programa\Microsoft IntelliType Pro\type32.exe
C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe
C:\Archivos de programa\3M\PSNLite\PsnLite.exe
C:\ARCHIV~1\3M\PSNLite\PSNGive.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.cl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [DU Meter] C:\Archivos de programa\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [type32] "C:\Archivos de programa\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"
O4 - Global Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Archivos de programa\3M\PSNLite\PsnLite.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135876022985
O17 - HKLM\System\CCS\Services\Tcpip\..\{76A3042D-42FC-4789-979E-4FF96C127198}: NameServer = 200.30.193.33,192.168.0.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

GRACIAS! TEMA SOLUCIONADO!.

Amigo NeoByte:

Sabes, despues postear la respuesta anterior me puse trabajar y me encontre un problema con Word. Mira, si puedes leer este post estaría muy agradecido. Tiene relación con el uso del RegSeeker:
http://www.forospyware.com/t37678-3.html#post164365

Saludos y gracias!