hola!

tengo un problema, y es que el pc se debe haber infectado con algún spyware... va lento y de vez en cuando se abren ventanas de internet solas

espero que me podáis ayudar, muchas gracias!

mi log es el siguiente:


Logfile of HijackThis v1.99.1
Scan saved at 14:42:32, on 14/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Cobian Backup 8\cbService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Archivos de programa\RealVNC\WinVNC\WinVNC.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Archivos de programa\ClamWin\bin\ClamTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\ARCHIV~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\ARCHIV~1\CROSOF~1.NET\ntvdm.exe
C:\Archivos de programa\Microsoft Office\Office\OUTLOOK.EXE
C:\ARCHIV~1\IBM\CLIENT~1\Emulator\pcsws.exe
C:\Archivos de programa\IBM\Client Access\Emulator\PCSCM.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\winhlp32.exe
C:\ARCHIV~1\IBM\CLIENT~1\Emulator\pcsws.exe
C:\Documents and Settings\primma\Mis documentos\alberto\varios\SnagIt32\SNAGIT32.EXE
C:\WINDOWS\TEMP\iddE0.tmp.exe
C:\Documents and Settings\primma\Datos de programa\?asks\j?vaw.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\TEMP\win9E.tmp.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - {DB29320C-8692-FE6E-C54B-8EBAAE164F94} - C:\WINDOWS\system32\sjd.dll (file missing)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM\..\Run: [WinVNC] "C:\Archivos de programa\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [Client Access Service] "C:\Archivos de programa\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Archivos de programa\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Archivos de programa\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Archivos de programa\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [Client Access PC5250 Sound] "C:\Archivos de programa\IBM\Client Access\Emulator\pcssnd.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [ClamWin] "C:\Archivos de programa\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Naoa] "C:\ARCHIV~1\CROSOF~1.NET\ntvdm.exe" -vt yazb
O4 - HKCU\..\Run: [Ylntuo] C:\Documents and Settings\primma\Datos de programa\?asks\j?vaw.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://albgar74.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) - https://puntos.dgt.es/conductores_cert_cpp/pag/capicom.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = amic.local
O17 - HKLM\Software\..\Telephony: DomainName = amic.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = amic.local
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Servicio de Cobian Backup 8 (CobBMService) - Luis Cobian - C:\Archivos de programa\Cobian Backup 8\cbService.exe
O23 - Service: Mandato remoto de iSeries Access para Windows (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Archivos de programa\RealVNC\WinVNC\WinVNC.exe" -service (file missing)

Buenas........



Descarga las siguientes herramientas:

• Killbox
  
• Regseeker
  
• Disk Cleaner

Paso 1:

• Desactiva la restauración del sistema
  
• Configura el sistema para ver todos los archivos ocultos

Paso 2:

Ejecuta el hijackthis sin tener ningún otro programa abierto, marca y dale FixChecked a las siguientes entradas:

R3 - URLSearchHook: (no name) - {DB29320C-8692-FE6E-C54B-8EBAAE164F94} - C:\WINDOWS\system32\sjd.dll (file missing)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O4 - HKCU\..\Run: [Naoa] "C:\ARCHIV~1\CROSOF~1.NET\ntvdm.exe" -vt yazb
O4 - HKCU\..\Run: [Ylntuo] C:\Documents and Settings\primma\Datos de programa\?asks\j?vaw.exe



Paso 3:

• Reinicia el sistema en modo a prueba de fallos (modo seguro)

Copia y pega las siguientes entradas en el Killbox (una a la vez) donde dice "Full Path of File to Delete" y le das click al boton rojo con cruz blanca del programa para eliminar el archivo:

C:\WINDOWS\system32\sjd.dll

C:\ARCHIV~1\CROSOF~1.NET\ntvdm.exe

C:\Documents and Settings\primma\Datos de programa\?asks\j?vaw.exe


Borra también las carpetas que te dejé remarcadas en rojo


Limpia los temporales y cookies con el Disk Cleaner

Limpia el registro de windows con el Regseeker (pásalo varias veces hasta que no quede nada por limpiar)



Paso 4:

Reincia el sistema en modo normal

Haz un chequeo con los antivirus online Kaspersky y Ewido


Nos comentas como te fue y dejas un nuevo log para ver como quedó



Salu2

hola!

te comento los resultados de todo:

paso 1:
desactivé la restauración del sistema y configuré el sistema para ver todos los archivos ocultos
mi pregunta acerca de este punto es... al acabar todos los pasos, debo deshacer estos cambios, verdad?

paso 2:
lo realicé sin ningún problema

paso 3:
las carpetas en rojo supongo que son "MICROSOFT.NET" y "Tasks", y el archivo de la carpeta Tasks supongo que es "javaw.exe"... como no salen bién los nombres...
bueno, pues he realizado este paso, pero el problema es que el killbox no me detectaba los archivos ni las carpetas, por lo que los he eliminado con el botón derecho del ratón + eliminar

he limpiado los temporales con disk cleaner, incluso los temporales del sitema
he pasado varias veces regseeker para limpiar el registro, pero hay una entrada que no se termina de eliminar, en la que pone:

hkey_current_user
software\microsoft\windows\shellnoroam\MUICache
c:\documents and settings\primma\datos de programa\?asks\j?avaw.exe
fichero o ruta inexistente

paso 4:
he pasado el antivirus online kaspersky, y los resultados son los siguientes:
-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Thursday, July 20, 2006 11:01:19 AM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 20/07/2006
Kaspersky Anti-Virus database records: 208549
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - Folders:
C:\

Scan Statistics:
Total number of scanned objects: 42005
Number of viruses found: 5
Number of infected objects: 56 / 0
Number of suspicious objects: 0
Duration of the scan process: 02:01:38

Infected Object Name / Virus Name / Last Action
C:\Archivos de programa\Cobian Backup 8\log.txt Object is locked skipped
C:\Archivos de programa\RealVNC\WinVNC\othread2.dll Infected: not-a-virus:RemoteAdmin.Win32.WinVNC-based.c skipped
C:\Archivos de programa\RealVNC\WinVNC\vnchooks.dll Infected: not-a-virus:RemoteAdmin.Win32.WinVNC-based.c skipped
C:\Archivos de programa\RealVNC\WinVNC\winvnc.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC-based.c skipped
C:\Documents and Settings\All Users\.clamwin\quarantine\adv470[1].htm Infected: Trojan-Downloader.JS.Agent.ab skipped
C:\Documents and Settings\All Users\.clamwin\quarantine\fillmemadv470[1].htm Infected: Exploit.JS.CVE-2005-1790.j skipped
C:\Documents and Settings\All Users\.clamwin\quarantine\fillmemadv470[2].htm Infected: Exploit.JS.CVE-2005-1790.j skipped
C:\Documents and Settings\All Users\.clamwin\quarantine\fillmemadv470[3].htm Infected: Exploit.JS.CVE-2005-1790.j skipped
C:\Documents and Settings\All Users\.clamwin\quarantine\fillmemadv470[4].htm Infected: Exploit.JS.CVE-2005-1790.j skipped
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\primma\Configuración local\Archivos temporales de Internet\Content.IE5\4T2N0TQJ\srvucz[1].exe Infected: Packed.Win32.Klone.g skipped
C:\Documents and Settings\primma\Configuración local\Archivos temporales de Internet\Content.IE5\8HYJSTM3\srvpkl[1].exe Infected: Packed.Win32.Klone.g skipped
C:\Documents and Settings\primma\Configuración local\Archivos temporales de Internet\Content.IE5\8HYJSTM3\srvpzb[1].exe Infected: Packed.Win32.Klone.g skipped
C:\Documents and Settings\primma\Configuración local\Archivos temporales de Internet\Content.IE5\IBG01H08\srvhwa[1].exe Infected: Packed.Win32.Klone.g skipped
C:\Documents and Settings\primma\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\primma\Configuración local\Archivos temporales de Internet\Content.IE5\VEVTP9Z7\srvdus[1].exe Infected: Packed.Win32.Klone.g skipped
C:\Documents and Settings\primma\Configuración local\Datos de programa\Microsoft\Outlook\outlook.pst Object is locked skipped
C:\Documents and Settings\primma\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\primma\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\primma\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\primma\Configuración local\Historial\History.IE5\MSHist0120060720200607 21\index.dat Object is locked skipped
C:\Documents and Settings\primma\Configuración local\Temp\ClamWin1.log Object is locked skipped
C:\Documents and Settings\primma\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\primma\Datos de programa\Microsoft\Outlook\outcmd.dat Object is locked skipped
C:\Documents and Settings\primma\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\primma\ntuser.dat.LOG Object is locked skipped
C:\System Volume Information\_restore{20FAF941-1C57-46E3-8E4C-A5EE3F7B2EE6}\RP2\change.log Object is locked skipped
C:\WINDOWS\CSC\00000001 Object is locked skipped
C:\WINDOWS\Debug\Netlogon.log Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\EventCache\{12F5CD E5-13C0-477C-B037-1AC7DDB744DC}.bin Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\DEFAULT Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\SOFTWARE Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\config\systemprofile\Configura ción local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\WINDOWS\system32\config\systemprofile\Configura ción local\Historial\History.IE5\index.dat Object is locked skipped
C:\WINDOWS\system32\config\systemprofile\Cookies\i ndex.dat Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\pmnlm.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.cq skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\system32\winyop32.dll Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd105.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd11B.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd15ED.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd16B.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd16C.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd16D.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd1802.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd20.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd200.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd21.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd210.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd22A.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd23.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd24.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd26.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd27.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd2885.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd29.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd2B.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd2F.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd4E24.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd5.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd513F.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd5C.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd6.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd60.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd61.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd62.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd65.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd66.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd6F.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd7.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd7E.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\idd9D.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\iddC.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\win20.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\win22.tmp Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\win22.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\win23.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\win2A.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\Temp\winB.tmp.exe Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped

Scan process completed.

también he pasado ewido y eliminado todo lo que ha salido, que es lo siguiente:
__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Doubleclick
Path: C:\Documents and Settings\primma\Cookies\primma@doubleclick[1].txt
Risk: Medium

Name: TrackingCookie.Statcounter
Path: C:\Documents and Settings\primma\Cookies\primma@statcounter[2].txt
Risk: Medium

Name: TrackingCookie.Reliablestats
Path: C:\Documents and Settings\primma\Cookies\primma@stats1.reliablestat s[2].txt
Risk: Medium

Name: TrackingCookie.Myaffiliateprogram
Path: C:\Documents and Settings\primma\Cookies\primma@www.myaffiliateprog ram[2].txt
Risk: Medium

Name: Dialer.Agent.z
Path: [3248] C:\WINDOWS\TEMP\idd15ED.tmp.exe
Risk: High

Name: Dialer.Agent.z
Path: [1108] C:\WINDOWS\TEMP\idd513F.tmp.exe
Risk: High

Name: Adware.Virtumonde
Path: C:\WINDOWS\system32\pmnlm.dll
Risk: Medium

el problema aún no se ha solucionado, pues me siguen saliendo ventanitas que se intentan conectar a internet... por lo que he leido en otros comentarios, creo que es el famoso dialer italiano
además, me he fijado que en la carpeta C:\windows\temp tengo varios archivos con el icono del dialer... los tengo que eliminar? por qué no los han detectado los antivirus online?

así que después de todo esto, os vuelvo a enviar mi log, a ver si está ok...
muchas gracias

Logfile of HijackThis v1.99.1
Scan saved at 12:27:31, on 20/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Cobian Backup 8\cbService.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\RealVNC\WinVNC\WinVNC.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\ClamWin\bin\ClamTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\ARCHIV~1\IBM\CLIENT~1\Emulator\pcsws.exe
C:\Archivos de programa\IBM\Client Access\Emulator\PCSCM.EXE
C:\ARCHIV~1\IBM\CLIENT~1\Emulator\pcsws.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\TEMP\win2A.tmp.exe
C:\WINDOWS\TEMP\idd4.tmp.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - {2E5FCA6D-7DF3-575E-A7EF-74D58804B19A} - (no file)
O4 - HKLM\..\Run: [WinVNC] "C:\Archivos de programa\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [Client Access Service] "C:\Archivos de programa\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Archivos de programa\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Archivos de programa\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Archivos de programa\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [Client Access PC5250 Sound] "C:\Archivos de programa\IBM\Client Access\Emulator\pcssnd.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [ClamWin] "C:\Archivos de programa\ClamWin\bin\ClamTray.exe" --logon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://albgar74.spaces.msn.com//Phot...d/MsnPUpld.cab
O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) - https://puntos.dgt.es/conductores_ce...ag/capicom.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = amic.local
O17 - HKLM\Software\..\Telephony: DomainName = amic.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = amic.local
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Servicio de Cobian Backup 8 (CobBMService) - Luis Cobian - C:\Archivos de programa\Cobian Backup 8\cbService.exe
O23 - Service: Mandato remoto de iSeries Access para Windows (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Archivos de programa\RealVNC\WinVNC\WinVNC.exe" -service (file missing)

Bien, usa el killbox y elimina los siguientes archivos:

C:\Documents and Settings\primma\Configuración local\Archivos temporales de Internet\Content.IE5\4T2N0TQJ\srvucz[1].exe

C:\Documents and Settings\primma\Configuración local\Archivos temporales de Internet\Content.IE5\8HYJSTM3\srvpkl[1].exe

C:\Documents and Settings\primma\Configuración local\Archivos temporales de Internet\Content.IE5\8HYJSTM3\srvpzb[1].exe

C:\Documents and Settings\primma\Configuración local\Archivos temporales de Internet\Content.IE5\IBG01H08\srvhwa[1].exe

C:\Documents and Settings\primma\Configuración local\Archivos temporales de Internet\Content.IE5\VEVTP9Z7\srvdus[1].exe

C:\WINDOWS\system32\pmnlm.dll

C:\WINDOWS\system32\winyop32.dll


Reinicias en modo a prueba de fallos


Entra en la carpeta C:\Windows\Temp


Presiona las siguientes teclas en este orden:

Ctrl + A

Shift + Supr


A la pregunta que te aparecerá, dale click en Aceptar (Ok)


Reincia en modo normal y verificas nuevamente el estado del sistema




Salu2

hola!

he hecho lo que me has indicado y llevo toda la mañana sin las ventanitas del dialer italiano! muchas gracias!

no obstante, no he conseguido eliminar el archivo C:\WINDOWS\system32\pmnlm.dll

he vuelto a pasar kaspersky, ewido y hijackthis.
estos son los resultados:

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Friday, July 21, 2006 1:58:42 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 21/07/2006
Kaspersky Anti-Virus database records: 208951
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - Folders:
C:\

Scan Statistics:
Total number of scanned objects: 38602
Number of viruses found: 5
Number of infected objects: 10 / 0
Number of suspicious objects: 0
Duration of the scan process: 02:43:32

Infected Object Name / Virus Name / Last Action
C:\Archivos de programa\Cobian Backup 8\log.txt Object is locked skipped
C:\Archivos de programa\RealVNC\WinVNC\othread2.dll Infected: not-a-virus:RemoteAdmin.Win32.WinVNC-based.c skipped
C:\Archivos de programa\RealVNC\WinVNC\vnchooks.dll Infected: not-a-virus:RemoteAdmin.Win32.WinVNC-based.c skipped
C:\Archivos de programa\RealVNC\WinVNC\winvnc.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC-based.c skipped
C:\Documents and Settings\All Users\.clamwin\quarantine\adv470[1].htm Infected: Trojan-Downloader.JS.Agent.ab skipped
C:\Documents and Settings\All Users\.clamwin\quarantine\fillmemadv470[1].htm Infected: Exploit.JS.CVE-2005-1790.j skipped
C:\Documents and Settings\All Users\.clamwin\quarantine\fillmemadv470[2].htm Infected: Exploit.JS.CVE-2005-1790.j skipped
C:\Documents and Settings\All Users\.clamwin\quarantine\fillmemadv470[3].htm Infected: Exploit.JS.CVE-2005-1790.j skipped
C:\Documents and Settings\All Users\.clamwin\quarantine\fillmemadv470[4].htm Infected: Exploit.JS.CVE-2005-1790.j skipped
C:\Documents and Settings\All Users\.clamwin\quarantine\JVAW~1.EXE Infected: not-a-virus:AdWare.Win32.PurityScan.en skipped
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\primma\Configuración local\Archivos temporales de Internet\Content.IE5\8LI78PAZ\onlinescanner[1].sig Object is locked skipped
C:\Documents and Settings\primma\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\primma\Configuración local\Datos de programa\Microsoft\Messenger\albgar74@hotmail.com\ SharingMetadata\infected.dat Object is locked skipped
C:\Documents and Settings\primma\Configuración local\Datos de programa\Microsoft\Messenger\albgar74@hotmail.com\ SharingMetadata\Logs\Dfsr.log Object is locked skipped
C:\Documents and Settings\primma\Configuración local\Datos de programa\Microsoft\Messenger\albgar74@hotmail.com\ SharingMetadata\pending.dat Object is locked skipped
C:\Documents and Settings\primma\Configuración local\Datos de programa\Microsoft\Messenger\albgar74@hotmail.com\ SharingMetadata\Working\database_1CA8_4F04_A84E_DC 40\dfsr.db Object is locked skipped
C:\Documents and Settings\primma\Configuración local\Datos de programa\Microsoft\Messenger\albgar74@hotmail.com\ SharingMetadata\Working\database_1CA8_4F04_A84E_DC 40\fsr.log Object is locked skipped
C:\Documents and Settings\primma\Configuración local\Datos de programa\Microsoft\Messenger\albgar74@hotmail.com\ SharingMetadata\Working\database_1CA8_4F04_A84E_DC 40\fsrtmp.log Object is locked skipped
C:\Documents and Settings\primma\Configuración local\Datos de programa\Microsoft\Messenger\albgar74@hotmail.com\ SharingMetadata\Working\database_1CA8_4F04_A84E_DC 40\tmp.edb Object is locked skipped
C:\Documents and Settings\primma\Configuración local\Datos de programa\Microsoft\Outlook\outlook.pst Object is locked skipped
C:\Documents and Settings\primma\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\primma\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\primma\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\albgar74@hotmail.com\real\members.stg Object is locked skipped
C:\Documents and Settings\primma\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\albgar74@hotmail.com\shadow\members.stg Object is locked skipped
C:\Documents and Settings\primma\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\primma\Configuración local\Historial\History.IE5\MSHist0120060721200607 22\index.dat Object is locked skipped
C:\Documents and Settings\primma\Configuración local\Temp\ClamWin1.log Object is locked skipped
C:\Documents and Settings\primma\Configuración local\Temp\~DFCAC0.tmp Object is locked skipped
C:\Documents and Settings\primma\Configuración local\Temp\~DFCADC.tmp Object is locked skipped
C:\Documents and Settings\primma\Configuración local\Temp\~DFFB5E.tmp Object is locked skipped
C:\Documents and Settings\primma\Configuración local\Temp\~DFFB79.tmp Object is locked skipped
C:\Documents and Settings\primma\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\primma\Datos de programa\Microsoft\Outlook\outcmd.dat Object is locked skipped
C:\Documents and Settings\primma\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\primma\ntuser.dat.LOG Object is locked skipped
C:\WINDOWS\CSC\00000001 Object is locked skipped
C:\WINDOWS\Debug\Netlogon.log Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\DEFAULT Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\SOFTWARE Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\config\systemprofile\Configura ción local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\WINDOWS\system32\config\systemprofile\Configura ción local\Historial\History.IE5\index.dat Object is locked skipped
C:\WINDOWS\system32\config\systemprofile\Cookies\i ndex.dat Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\pmnlm.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.cq skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped

Scan process completed.


__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Atdmt
Path: C:\Documents and Settings\primma\Cookies\primma@atdmt[2].txt
Risk: Medium

Name: TrackingCookie.Bfast
Path: C:\Documents and Settings\primma\Cookies\primma@bfast[2].txt
Risk: Medium

Name: TrackingCookie.Doubleclick
Path: C:\Documents and Settings\primma\Cookies\primma@doubleclick[1].txt
Risk: Medium

Name: TrackingCookie.Mediaplex
Path: C:\Documents and Settings\primma\Cookies\primma@mediaplex[1].txt
Risk: Medium

Name: TrackingCookie.Reliablestats
Path: C:\Documents and Settings\primma\Cookies\primma@stats1.reliablestat s[2].txt
Risk: Medium

Name: TrackingCookie.Tradedoubler
Path: C:\Documents and Settings\primma\Cookies\primma@tradedoubler[1].txt
Risk: Medium

Name: TrackingCookie.Myaffiliateprogram
Path: C:\Documents and Settings\primma\Cookies\primma@www.myaffiliateprog ram[2].txt
Risk: Medium

Name: Adware.Virtumonde
Path: C:\WINDOWS\system32\pmnlm.dll
Risk: Medium

Logfile of HijackThis v1.99.1
Scan saved at 15:24:20, on 21/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Cobian Backup 8\cbService.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\RealVNC\WinVNC\WinVNC.exe
C:\Archivos de programa\ClamWin\bin\ClamTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - {2E5FCA6D-7DF3-575E-A7EF-74D58804B19A} - (no file)
O4 - HKLM\..\Run: [WinVNC] "C:\Archivos de programa\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [Client Access Service] "C:\Archivos de programa\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Archivos de programa\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Archivos de programa\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Archivos de programa\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [Client Access PC5250 Sound] "C:\Archivos de programa\IBM\Client Access\Emulator\pcssnd.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [ClamWin] "C:\Archivos de programa\ClamWin\bin\ClamTray.exe" --logon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://albgar74.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) - https://puntos.dgt.es/conductores_cert_cpp/pag/capicom.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = amic.local
O17 - HKLM\Software\..\Telephony: DomainName = amic.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = amic.local
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Servicio de Cobian Backup 8 (CobBMService) - Luis Cobian - C:\Archivos de programa\Cobian Backup 8\cbService.exe
O23 - Service: Mandato remoto de iSeries Access para Windows (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Archivos de programa\RealVNC\WinVNC\WinVNC.exe" -service (file missing)

Para eliminar el archivo que no se dejó, usa el killbox, pero antes de darle click al botón rojo para eliminar dicho archivo, marca la opción que dice "Delete on Reboot", luego le das click al boton rojo, te aparecerá un mensaje preguntando si deseas que se reinicie el sistema al cual contestarás en Ok



Me cuentas



Salu2

nada, que no hay manera de eliminarlo...
he marcado en "delete on reboot" y me sale que si quiero reiniciar ahora
al pinchar en aceptar, se inicia una cuenta atrás y al acabar dicha cuenta atrás, me aparece un mensaje de error que dice "PendingFileRenameOperations Registry Data has been Removed by External Process!"

Descarga y ejecuta (En modo normal) el VundoFix siguiendo los pasos del enlace


Reinicia el sistema y me cuentas




Salu2

la primera vez me ha salido una ventanita diciendo que no se podía eliminar el archivo, que vundo lo intentaría eliminar al reiniciar...
he reiniciado y el archivo seguía sin ser eliminado
lo he vuelto a intentar y a la segunda no ha habido problema

llevo un buen rato ya sin que se me abran ventanas ni nada raro
te dejo mi log por si queda algo por ahí...
si está limpio, podemos dar el tema por solucionado
muchas gracias!

Logfile of HijackThis v1.99.1
Scan saved at 9:35:20, on 25/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Cobian Backup 8\cbService.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\RealVNC\WinVNC\WinVNC.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\ClamWin\bin\ClamTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - {2E5FCA6D-7DF3-575E-A7EF-74D58804B19A} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2E5FCA6D-7DF3-575E-A7EF-74D58804B19A} - (no file)
O2 - BHO: (no name) - {88B613E6-960D-47E0-B660-F2FC33B7F389} - C:\WINDOWS\system32\pmnlm.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {DB29320C-8692-FE6E-C54B-8EBAAE164F94} - (no file)
O4 - HKLM\..\Run: [WinVNC] "C:\Archivos de programa\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [Client Access Service] "C:\Archivos de programa\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Archivos de programa\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Archivos de programa\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Archivos de programa\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [Client Access PC5250 Sound] "C:\Archivos de programa\IBM\Client Access\Emulator\pcssnd.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [ClamWin] "C:\Archivos de programa\ClamWin\bin\ClamTray.exe" --logon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://albgar74.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) - https://puntos.dgt.es/conductores_cert_cpp/pag/capicom.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = amic.local
O17 - HKLM\Software\..\Telephony: DomainName = amic.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = amic.local
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: winyop32 - winyop32.dll (file missing)
O23 - Service: Servicio de Cobian Backup 8 (CobBMService) - Luis Cobian - C:\Archivos de programa\Cobian Backup 8\cbService.exe
O23 - Service: Mandato remoto de iSeries Access para Windows (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Archivos de programa\RealVNC\WinVNC\WinVNC.exe" -service (file missing)

Bien, el log está limpio, solo dale fix a estas entradas:

R3 - URLSearchHook: (no name) - {2E5FCA6D-7DF3-575E-A7EF-74D58804B19A} - (no file)

O2 - BHO: (no name) - {2E5FCA6D-7DF3-575E-A7EF-74D58804B19A} - (no file)
O2 - BHO: (no name) - {88B613E6-960D-47E0-B660-F2FC33B7F389} - C:\WINDOWS\system32\pmnlm.dll (file missing)
O2 - BHO: (no name) - {DB29320C-8692-FE6E-C54B-8EBAAE164F94} - (no file)

O20 - Winlogon Notify: winyop32 - winyop32.dll (file missing)


Damos el tema por solucionado



Salu2