Desde ya muchas gracias por responder a mi problema. =)

bueno... resulta que navegaba tranquilamente y veo que mi PC andaba cada ves mas lento... veo a travez de netstat las conexiones entrantes... y veo alrededor de 14 entrantes de un host terra... me extraño mxo...
pase a analizar con ad-aware pro (ya que kaspersky tras el analisis no hayo nada) y encuentra 44 definiciones... las cuales las mas importantes (y ya conocidas por mi) se hacien llamar algo de "WEBHANCER", luego procedo a ver mi inicio de sistema.... y veo que hay 2 entradas extrañas a mi PC, "OUTPOST" y "FEEDBACK" (ambas referentes a la compañia agnitum del firewall el cual nunca he instalado en mi PC) las saque del inciio de sistema y al reiniciar veo que estan de nuevo....
ad-awatch de ad-aware pro me las identifica como ediciones de mi registro... y las bloquea... fui a regedit directamente a la direccion y veo que al eliminar ambas entradas vuelven a aparecer...
entonces relacione directamente las entradas en mi registro inicio, con las multiples conexiones que visualice al usar netstat, pero no estoy seguro si asi sea... en ese momento tenia kaspersky 6, desidi volver a kaspersky 5 (a causa del mismo problema sufrido anteriormente y kaspersky 5 bloqueaba gran cantidad de las conexiones entrantes ya que entran como trojans).
tengo desactivado restaurar sistema por si fuera problema de ahi.... y nada

mi log es:

Logfile of HijackThis v1.99.1
Scan saved at 21:55:54, on 01-08-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\vsnpstd2.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\Archivos de programa\Creative\MediaSource\Detector\CTDetect.ex e
C:\ARCHIV~1\Lavasoft\AD-AWA~1\Ad-Watch.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\wolfy\CONFIG~1\Temp\Rar$EX00.672\Hijac kThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Archivos de programa\DAP\DAPBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Archivos de programa\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\System32\igfxpers.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\ARCHIV~1\Agnitum\OUTPOS~1.0\feedback.exe /dump:os_startup
O4 - HKCU\..\Run: [Creative Detector] "C:\Archivos de programa\Creative\MediaSource\Detector\CTDetect.ex e" /R
O4 - HKCU\..\Run: [AWMON] "C:\ARCHIV~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Barra de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\archivos de programa\webhancer\programs\webhdll.dll' missing
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{77ED478D-87EA-4FCF-AA2A-D35A98678F80}: NameServer = 85.255.116.149,85.255.112.60
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6EF7A06-1F72-46C2-A7DC-1A4A39C3BD68}: NameServer = 85.255.116.149,85.255.112.60
O17 - HKLM\System\CCS\Services\Tcpip\..\{F55E7DBB-2365-42B9-84D8-C7FC46C63FC3}: NameServer = 85.255.116.149 85.255.112.60
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.149 85.255.112.60
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.149 85.255.112.60
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.149 85.255.112.60
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\ARCHIV~1\Agnitum\OUTPOS~1.0\wl_hook.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe



"O10 - Broken Internet access because of LSP provider 'c:\archivos de programa\webhancer\programs\webhdll.dll' missing"

esas lineas me extrañan... anteriormente habia tenido problemas con lo mismo pero lo habia solucionado... lo cual ahora no puedo =S

muchas gracias =)

Hola wolfraim_2,

Realizá estos pasos:

*Desactivá Ad-Watch para realizar estos pasos.

*Instalá Hijackthis en una carpeta dedicada para él, no lo ejecutés desde el archivo comprimido. (Ej: C:\Archivos de programa\HJT) <= Forma correcta

*Te recomiendo desinstalar DAP, y cambiarlo por alguno mas seguro.

*Descarga las siguientes herramientas:Ad-Aware SE Personal+Manual, Regseeker+Manual, KillBox, Disk Cleaner, LSP-Fix

Apagá el "Restaurar Sistema"

Activá la opción Ver Archivos Ocultos

Reiniciá en Modo a Prueba de Fallos

Cerrá todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

O4 - HKLM\..\Run: [Outpost Firewall] C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice

O4 - HKLM\..\Run: [OutpostFeedBack] C:\ARCHIV~1\Agnitum\OUTPOS~1.0\feedback.exe /dump:os_startup

O9 - Extra button: Barra de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\WINDOWS\System32\shdocvw.dll

O10 - Broken Internet access because of LSP provider 'c:\archivos de programa\webhancer\programs\webhdll.dll' missing

O17 - HKLM\System\CCS\Services\Tcpip\..\{77ED478D-87EA-4FCF-AA2A-D35A98678F80}: NameServer = 85.255.116.149,85.255.112.60

O17 - HKLM\System\CCS\Services\Tcpip\..\{E6EF7A06-1F72-46C2-A7DC-1A4A39C3BD68}: NameServer = 85.255.116.149,85.255.112.60

O17 - HKLM\System\CCS\Services\Tcpip\..\{F55E7DBB-2365-42B9-84D8-C7FC46C63FC3}: NameServer = 85.255.116.149 85.255.112.60

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.149 85.255.112.60

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.149 85.255.112.60

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.149 85.255.112.60

O20 - AppInit_DLLs: C:\ARCHIV~1\Agnitum\OUTPOS~1.0\wl_hook.dll

Sin reiniciar, buscá y eliminá estos archivos/carpetas, si no se dejan eliminar descargá el programa "Killbox" y seguí las indicaciones del mensaje, copiá y pegá los archivos para que los elimine al reiniciar (En caso de no eliminarse con KillBox, utilizá la opción que dice ¨Delete on Reboot¨).

C:\ARCHIV~1\Agnitum <-- Eliminá la carpeta completa

C:\WINDOWS\System32\shdocvw.dll

c:\archivos de programa\webhancer <-- Eliminá la carpeta completa

Ejecutá la herramienta LSP-Fix

Pasá el Disk Cleaner para limpiar cookies y temporales

Pasá el Regseeker para limpiar el registro, pásalo hasta que no quede nada para eliminar.

Pasá el Ad-Aware SE actualizado e instalá SpywareBlaster

Reiniciá la maquina y pegá otro log de Hijackthis acá mismo, luego nos contás como te fué.

Suerte

OhhH!! =O
increible!!
segui paso a paso lo entregado y el problema fue solucionado...
la herramienta regseeker tiene algo en especial que es como la favorita??
pq yo uso regsupreme... de todas maneras use regseeker ya que es recomendado por ustedes.
*lo que se me hacia extraño... era que las carpetas señaladas nunca existieron.
al menos a travez del comando ejecutar y de la busqueda visual (tras haber activado la vision de objetos protegidos por el sistema)
de todas maneras use killbox y todo bien =)
*algo que tambien me llamo la atencion son las entradas de Nº 017
que son? =S

bueno tras todo el proceso realizado... hice una limpieza full y una reparacion pequeñita... dejando todo registro bien puesto y deje programas usados por uds, aparte de cambiar mi version de kaspersky xD

Muchas gracias de verdad... =)

mi nuevo log:


Logfile of HijackThis v1.99.1
Scan saved at 22:18:11, on 02-08-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\Winamp\winamp.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\wolfraim\Mis documentos\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Archivos de programa\DAP\DAPBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Archivos de programa\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\System32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\ARCHIV~1\DAP\DAP.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB2EDC09-3969-4DA0-9045-7ADF613550A0}: NameServer = 200.28.4.129 200.28.4.130
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

lo veo tan limpio que ni yo reconozco algo extraño ahi =D

gracias de verdad! =)

Hola wolfraim_2,
Es liviana, confiable, tiene varias opciones...pero si tenés alguna que realice el mismo trabajo utilizála.

A veces solo quedan huellas en el registro, pero es necesario verificar que no están.

Pertenecen a los servidores que te dan internet. En tu caso de te redirigian a unos servidores ubicados en Ucrania.

Tu log esta limpio, viendo que todo esta bien damos por solucionado el tema.

Suerte