Hola a todos , buenos dìas.

Mi problema es el siguiente, le pase el norton a la makina y me habia detectado 2 virus (edmond.exe y delprot.sys), los cuales no los pudo ni poner en cuarentena ni eliminar el norton, ademas constantemente se estan abriendo paginas solas y esas molestas ventanitas.

Pude eliminar mediante un procedimiento que encontre en internet el virus delprot.sys, pero el otro aun sigue ahi, y aun se siguen abriendo las molestas ventanas y la barra gris que se pne sola en la parte de arriba del explorador, tambien de vez en cuando aparece una barra azul en la parte baja de la pantalla.

Ya segui los 11 pasos del tutorial y ni asi se ha quitado el problema, ahora ke le volvi a pasar el norton me aparece de nuevo el virus edmond.exe y otro que no recuerdo el nombre.


aqui les pego mi log, para que me ayuden please !!!

Logfile of HijackThis v1.99.1
Scan saved at 10:08:57 a.m., on 19/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\ARCHIV~1\AQUATI~1\AQ3HEL~1.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
c:\windows\system32\lkkbrvv.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?cwvag (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://in.webcounter.cc/--/?cwvag (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?cwvag (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://in.webcounter.cc/-/?cwvag (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://in.webcounter.cc/--/?cwvag (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://in.webcounter.cc/---/?cwvag (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://in.webcounter.cc/--/?cwvag (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://in.webcounter.cc/-/?cwvag about:blank (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://in.webcounter.cc/--/?cwvag (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://in.webcounter.cc/--/?cwvag (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://in.webcounter.cc/-/?cwvag about:blank (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://in.webcounter.cc/---/?cwvag (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://in.webcounter.cc/--/?cwvag (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://in.webcounter.cc/---/?cwvag (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://in.webcounter.cc/--/?cwvag (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
F1 - win.ini: run=fntldr.exe
O1 - Hosts: 1089288654 auto.search.msn.com
O3 - Toolbar: (no name) - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Soundmx] C:\soundmx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\ARCHIV~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [amen about chin dvd] C:\Documents and Settings\All Users\Datos de programa\4DeadAmenAbout\Acid Blue.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\ARCHIV~1\AQUATI~1\AQ3HEL~1.EXE /partner AQ3
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=053105 serial=DR12WTX-9999998-YSP lang=ES
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [OrbitView] C:\Archivos de programa\Orbit\view.exe
O4 - HKLM\..\Run: [OrbitUpdate] C:\Archivos de programa\Orbit\update.exe
O4 - HKLM\..\Run: [Hotbar] C:\Archivos de programa\Hotbar\bin\4.4.5.0\HbInst.exe /Upgrade
O4 - HKLM\..\Run: [ebhlnl] c:\windows\system32\lkkbrvv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [delete 1] C:\DOCUME~1\enduser\DATOSD~1\THUNKU~1\aboutkeep.ex e
O4 - HKCU\..\Run: [ClockSync] "C:\Archivos de programa\ClockSync\Sync.exe" /q
O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html
O9 - Extra button: Inicio - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\wnd1-music-mx\entrar.html (file missing)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\MESSENGER\YPAGER.EXE (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\MESSENGER\YPAGER.EXE (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra button: (no name) - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\Archivos de programa\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a .htm (file missing) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversInitialSetup1.0.0.8.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C749EAAD-D6EF-4A73-956D-EF086749D2EF}: Domain = megared.net.mx
O17 - HKLM\System\CCS\Services\Tcpip\..\{C749EAAD-D6EF-4A73-956D-EF086749D2EF}: NameServer = 10.48.0.4
O19 - User stylesheet: C:\WINDOWS\Web\tips.ini
O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)
O20 - Winlogon Notify: APPPATHS - C:\WINDOWS\system32\n0p40a7qed.dll (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

Muchas gracias, esperare su respuesta

Hola, nada mas kiero sabes si alguien puede ayudarme con el problemita ke tengo, ya ke no he tenido respuesta. gracias

Hola!!!

Si no has tenido respuesta hasta ahora es porque hay muchos mensajes para responder, y no podemos responder 20 mensajes a la vez, asi que hay que tener un poco de paciencia.

Tu log no hay por donde cogerlo

Sigue estos pasos:

1) Visista Windows Update y descraga todas las actualizaciones críticas y de seguridad (SP2).

2) Apaga Restaurar Sistema

3) Ver archivos ocultos

4) Pasa al menos 2 de estos Antivirus Online

5) Sigue estos pasos para eliminar la entrada 01-Hosts.

6) Desde panel de control-->agregar o quitar programas, desinstala si está:

Orbit
Hotbar
ClockSync
GMT
Ebates_MoeMoneyMaker

7) Con el administrador de tareas (Ctrl+Alt+Supr) para estos procesos si se están ejecutando:

lkkbrvv.exe
fntldr.exe
soundmx.exe
Acid Blue.exe
view.exe
update.exe
HbInst.exe
aboutkeep.exe
Sync.exe
GMT.exe
svcproc.exe

8) Ejecuta HijackThis con todos los programas cerrados y dale fix a:

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?cwvag (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://in.webcounter.cc/--/?cwvag (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?cwvag (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://in.webcounter.cc/-/?cwvag (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://in.webcounter.cc/--/?cwvag (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://in.webcounter.cc/---/?cwvag (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://in.webcounter.cc/--/?cwvag (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://in.webcounter.cc/-/?cwvag about:blank (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://in.webcounter.cc/--/?cwvag (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://in.webcounter.cc/--/?cwvag (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://in.webcounter.cc/-/?cwvag about:blank (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://in.webcounter.cc/---/?cwvag (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://in.webcounter.cc/--/?cwvag (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://in.webcounter.cc/---/?cwvag (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://in.webcounter.cc/--/?cwvag (obfuscated)

R3 - Default URLSearchHook is missing

F1 - win.ini: run=fntldr.exe

O1 - Hosts: 1089288654 auto.search.msn.com

O3 - Toolbar: (no name) - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - (no file)

O4 - HKLM\..\Run: [Soundmx] C:\soundmx.exe

O4 - HKLM\..\Run: [amen about chin dvd] C:\Documents and Settings\All Users\Datos de programa\4DeadAmenAbout\Acid Blue.exe

O4 - HKLM\..\Run: [OrbitView] C:\Archivos de programa\Orbit\view.exe

O4 - HKLM\..\Run: [OrbitUpdate] C:\Archivos de programa\Orbit\update.exe

O4 - HKLM\..\Run: [Hotbar] C:\Archivos de programa\Hotbar\bin\4.4.5.0\HbInst.exe /Upgrade

O4 - HKLM\..\Run: [ebhlnl] c:\windows\system32\lkkbrvv.exe

O4 - HKCU\..\Run: [delete 1] C:\DOCUME~1\enduser\DATOSD~1\THUNKU~1\aboutkeep.ex e

O4 - HKCU\..\Run: [ClockSync] "C:\Archivos de programa\ClockSync\Sync.exe" /q

O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe

O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html

O9 - Extra button: Inicio - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\wnd1-music-mx\entrar.html (file missing)

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\MESSENGER\YPAGER.EXE (file missing)

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\MESSENGER\YPAGER.EXE (file missing)

O9 - Extra button: (no name) - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\Archivos de programa\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a .htm (file missing) (HKCU)

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversInitialSe tup1.0.0.8.cab

O19 - User stylesheet: C:\WINDOWS\Web\tips.ini

O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)

O20 - Winlogon Notify: APPPATHS - C:\WINDOWS\system32\n0p40a7qed.dll (file missing)

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

9) Reinicia a prueba de fallos

10) Ejecuta CWShredder 2.14 y dale al botón Fix.

11) Busca y elimina estos archivos:

c:\windows\system32\lkkbrvv.exe
fntldr.exe
C:\soundmx.exe
C:\WINDOWS\Web\tips.ini
C:\WINDOWS\hh.htt
C:\WINDOWS\system32\n0p40a7qed.dll
C:\WINDOWS\svcproc.exe

Y estas carpetas con todo su contenido:

C:\Documents and Settings\All Users\Datos de programa\4DeadAmenAbout\
C:\Archivos de programa\Orbit\
C:\Archivos de programa\Hotbar\
C:\DOCUME~1\enduser\DATOSD~1\THUNKU~1\
C:\Archivos de programa\ClockSync\
C:\Program Files\Common Files\GMT\
C:\Archivos de programa\Ebates_MoeMoneyMaker\

Para archivos que no se dejen eliminar usa KillBox

12) Limpia el registro con RegSeeker y pasa Ad-Aware actualizado.

13) Elimina cookies y temporales de internet con Disk Cleaner y vacia la papelera.

14) Reinicia normal y nos cuentas los resultados.

Saludos

Hola, gracias por tu ayuda!!

Parece ke ya se soluciono, al menos hasta ahorita no se ha abierto nada ke yo no haya llamado.

Nada mas ke tengo un pekeño problemita...:

No se si sea de lo mismo, cuando la makina se reinicia se keda en la pantalla de bienvenido, hasta ke le doy Ctrl+alt+supr entra bien.

Y no he podido instalar el pack 2 del xp, cuando se esta instalando marca error, a ke se debe?

MIL GRACIAS!!! :dedosarri

Bueno,

¿Tu windows es original o es pirata?. Me temo que si es pirata no podrás actualizarlo.

Respecto a la pantalla de bienvenida, pues no se a que se puede deber, si quieres vuelve a dejarnos un nuevo log en este mismo mensaje para que veamos si quedó algo.

Saludos

Oks, entonces voy aki les va el log de nuevo.

Pero antes.. si borro la carpeta del Hijackthis no pasa nada en mi makina?

Logfile of HijackThis v1.99.1
Scan saved at 02:41:34 p.m., on 24/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\ARCHIV~1\AQUATI~1\AQ3HEL~1.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
c:\windows\system32\ergtppq.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\ARCHIV~1\AQUATI~1\AQ3HEL~1.EXE /partner AQ3
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=053105 serial=DR12WTX-9999998-YSP lang=ES
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [vyhxle] c:\windows\system32\ergtppq.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C749EAAD-D6EF-4A73-956D-EF086749D2EF}: Domain = megared.net.mx
O17 - HKLM\System\CCS\Services\Tcpip\..\{C749EAAD-D6EF-4A73-956D-EF086749D2EF}: NameServer = 10.48.0.4
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

Bueno, pues efectivamente, tu pc continua infectada.

La carpeta de HijackThis la puedes eliminar, pero sólo cuando hayas solucionado definitivamente el problema y hayas comprobado que después de unos días tu pc funciona correctamente con las entradas que eliminaste con HijackThis. Esto es importante porque el programa tiene la opción de hacer backup, por si eliminamos algo por error, por lo que si eliminas la carpeta perderiamos la opción de hacer backup.

Sigue estos pasos:

1) Apaga Restaurar Sistema

2) Descarga Nail-Kill.zip y descomprimela en el escritorio, pero aun no la ejecutes.

3) Reinicia a prueba de fallos

4) Ejecuta el archivo Nail-Kill.exe con todos los programas cerrados. Se abrira una ventana rápidamente y desaparecera el escritorio y los iconos momentaneamente.

5) Ejecuta HijackThis con todos los programas cerrados y dale fix a:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O4 - HKLM\..\Run: [vyhxle] c:\windows\system32\ergtppq.exe

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

6) Elimina con KillBox estos archivos:

c:\windows\system32\ergtppq.exe
C:\WINDOWS\Nail.exe
C:\WINDOWS\svcproc.exe

7) Elimina cookies y temporales de internet con Disk Cleaner y vacia la papelera.

8) Reinicia normal y pasa al menos 2 de estos Antivirus Online

9) Reinicia y nos cuentas los resultados.

Saludos

Hola, ya segui los pasos que me dices.. y no encontre las entradas que me dices ke borre, ni los archivos a eliminar.

Ahora al abrir la pagina de inicio, no abre nada, se pone en blanco, y no kiere entrar a internet hasta ke reinicio la makina o la apago.

aki te dejo mi log !!!:

Logfile of HijackThis v1.99.1
Scan saved at 12:08:58 p.m., on 25/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\wuauclt.exe
C:\ARCHIV~1\AQUATI~1\AQ3HEL~1.EXE
C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINDOWS\System32\ctfmon.exe
c:\windows\system32\lwxnuy.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\ARCHIV~1\AQUATI~1\AQ3HEL~1.EXE /partner AQ3
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=053105 serial=DR12WTX-9999998-YSP lang=ES
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [lpgpkj] c:\windows\system32\lwxnuy.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (Control HouseCall) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C749EAAD-D6EF-4A73-956D-EF086749D2EF}: Domain = megared.net.mx
O17 - HKLM\System\CCS\Services\Tcpip\..\{C749EAAD-D6EF-4A73-956D-EF086749D2EF}: NameServer = 10.48.0.4
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

Bien, sigue estos pasos:

1) Apaga Restaurar Sistema

2) Ver archivos ocultos

3) Reinicia a prueba de fallos

4) Ejecuta Nail-Kill.exe con todos los programas cerrados.

5) Ejecuta HijackThis con todos los programas cerrados y dale fix a:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O4 - HKLM\..\Run: [lpgpkj] c:\windows\system32\lwxnuy.exe

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

6) Elimina estos archivos con KillBox:

c:\windows\system32\lwxnuy.exe
C:\WINDOWS\Nail.exe
C:\WINDOWS\svcproc.exe

Los pones de uno en uno y cuando te pida reiniciar le das a NO y pones el siguiente, asi hasta llegar al último donde SI debrás reiniciar para poder eliminarlos.

7) Pasa al menos 2 de estos Antivirus Online

8) Limpia el registro con RegSeeker y pasa Ad-Aware actualizado.

9) Elimina cookies y temporales de internet con Disk Cleaner y vacia la papelera.

10) Reinicia y nos cuentas los resultados.

Saludos

PD// Seria muy interesante que pudieras actualizar tu sistema y tu explorer.

Hola, ya segui tus pasos y no se si la makina en verdad ya este bien, ahora en la papelera de reciclaje no puedo cambiar el icono, se puso el icono de una carpeta y al ponerle el de papelera no se cambia.

Como actualizo el explorer???

El windows no he podido actualizarlo porke no puedo instalar el service pack 2 (porke es pirata) ya cambie la clave de windows con un programita ke genera claves validas y ni asi puedo actualizar windows.

Aunke cuando me voy a ejecutar y checo si ya esta activado, me dice ke si.

ke debo hacer?!!!

Saludos y gracias!!!