Hola! Estoy bastante agobiada


Al principio solo notaba un dialer italiano que trataba de conectar sin lograrlo (ZoneAlarm le detiene).
A pesar de eliminar los archivos temporales el amigo Corleone (llamemosle asi que es casi de la familia) seguia apareciendo, asi que busque en la red y recomendaban un programa llamado ElistarA.exe, que me baje y ejecute.

Bueno, Eli elimino el problema temporalmente, pero me aviso de que tenia un Vundo troyano. Busque metodos para eliminarlo, pensando que era el quien se bajaba al Corleone. Le paso el fix y reinicio unas cuantas veces porque se me olvida borrar algunas entradas en el registro. Teoricamente el Vundo que yo ni sabia que tenia ya ha muerto, pero hay tres o cuatro dll que EliStarA ha guardado en un C:/WinLogon para mandarlos de muestra, cosa que me mosquea un poco porque no hay forma de eliminarlos.
Paso el DiskCleaner y para asegurarme uso mis programas habituales de desinfeccion (Spybot y Ad Aware) y el antivirus (Panda)

El Corleone me saluda con la mano (esto ya es cachondeo ¬¬U)

Sigo mirando las cosas que me saca el EliStarA y el SpyBot y la primera me cuenta que tengo un Softomate XP
Siguiendo mis pesquisas en la red me bajo el XoftSpySE y lo pruebo. Aparentemente mata a muchos bichos que tenia por ahi y me pide reiniciar para acabar con el tomate. Por sugerencia de mi novio (cuantos informaticos hacen falta para cargarse un ordenador? el y yo nos las arreglamos estupendamente) ademas paso el RegCleaner y todo mi repertorio de nuevo.

Descubrimos con acoquine tres carpetas misteriosas en C, una es un /temp que no deberia estar ahi, las otras dos son un winap32/ que contiene un photoshp, y la ultima es la winlogon que hasta hace poco no habia relacionado con EliStarA. Iniciamos en Simbolo de Sistema para tratar de cargarnoslas. El problema es que al reiniciar siguen ahi...

Y ahora no puedo borrar ningun archivo o darles con el boton derecho del raton sin que el explorer.exe se trufe y desaparezca sin un mal mensaje de error!!
Ah! y por si lo dudabais, Corleone sigue por aqui...

Finalmente me he rendido y os lo mando a vosotros para ver si podeis hacer algo nnU

Siento todo el mondongo de letras, pero era un poco inevitable...

[Edit]: Finalmente he optado por usar la herramienta de restaurar y volver el sistema a antes de hacer las ultimas modificaciones. He conseguido que el explorer vuelva a ir bien, pero por lo demas el resto de plagas sigue suelto...

Los sintomas que tenemos son estos:
-Dialer Italiano que se regenera en la carpeta de temporales windows/temp con diferentes nombres (idd??.tmp.exe)
-Un amigo suyo que no dice nada pero tambien trata de colarse a la red, mismo metodo (win??.tmp.exe)
-El ismon y sus amigos andan por aqui tambien
-y otro que se llama 2dadf49a del que no encuentro informacion en ningun lado...
-el EliStarA se cuelga cuando intenta borrar los temporales de Internet

Y a continuacion el Log de HijackThis, a ver si saca algo en claro porque me estoy volviendo loka nnU

[Edit]: este es el nuevo log, hecho desde modo seguro tras retroceder con el restaurador

Logfile of HijackThis v1.99.1
Scan saved at 0:36:37, on 19/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Pedro\Mis documentos\MªJesús\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Universidad Politécnica de Valencia
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Archivos de programa\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printra y.exe
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA CE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB002" /M "Stylus DX3800"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [2dadf49a.exe] C:\WINDOWS\system32\2dadf49a.exe
O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Pedro\Mis documentos\MªJesús\programas\ElliStara\EliStarA.ex e
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Aplicación de U.S. Robotics SureConnect ADSL.lnk = ?
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5EC7C511-CD0F-42E6-830C-1BD9882F3458} (PowerPlayer Control) - http://www.ppstream.com/bin/powerplayer.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1133206289953
O17 - HKLM\System\CCS\Services\Tcpip\..\{4EA78B46-DC68-46AE-B728-F1714BAB5050}: NameServer = 62.81.0.33,62.81.16.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{9BF8921F-CCE6-4415-917C-6E85DE2EC6CD}: NameServer = 193.152.63.197,194.179.1.100
O17 - HKLM\System\CS1\Services\Tcpip\..\{4EA78B46-DC68-46AE-B728-F1714BAB5050}: NameServer = 62.81.0.33,62.81.16.129
O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

siento el lio del edit, es lo que tiene ir haciendo las cosas sobre la marcha nnU

Hola arigata bienvenido al foro

El dialer no se aprecia en tu log, por lo que cuando termines con estas recomndaciones, te dare otras para eliminarlo.

Antes que nada descarga DelPSGuard

Luego realiza estos pasos:

1. Apaga Restaurar Sistema

2. Ver Archivos Ocultos

3. Reinicia en Modo Seguro

4. Con todos los programas cerrados ejecuta el HijackThis y dale “FIX Cheked” a las siguientes entradas:

O4 - HKLM\..\Run: [2dadf49a.exe] C:\WINDOWS\system32\2dadf49a.exe

O4 - Global Startup: Aplicación de U.S. Robotics SureConnect ADSL.lnk = ?
O4 - Global Startup: BlueSoleil.lnk = ?

O16 - DPF: {5EC7C511-CD0F-42E6-830C-1BD9882F3458} (PowerPlayer Control) - http://www.ppstream.com/bin/powerplayer.cab

O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll (file missing)

5. Busca y elimina estos archivos con el KillBox, usando la opcion delete on reboot.

C:\WINDOWS\system32\2dadf49a.exe
C:\WINDOWS\system32\urroxtl.dll

Si no encuentras alguno usa el buscador (Inicio/Buscar/Todos los archivos y/o carpetas)

6. Siguiendo las intrusiones del enlace ejecuta DelPSGuard , Pegas en el próximo mensaje el reporte que genere.

7. Le pasas:

• El Ad-Ware SE actualizado.
• El RegSeeker, debes usar la opción Limpiar Registro, pásalo las veces que sean necesarias hasta que no aparezca nada.
• El Disk Cleaner, para limpiar cookies y temporales.

Reinicias y te recomiendo que instales el SpywareBlaster 3.5.1, y su Manual .

Debes visitar Windows Update para que descargues las últimas actualizaciones criticas de seguridad, y Aquí para el internet explorer.

Al finalizar deshaces los dos primeros pasos, pegas un nuevo log para ver los resultados y nos cuentas como te fue.

Saludos.

holaaaa, siento el retraso, he estado unos dias sin poder dedicarle tiempo a la limpieza nnU

Veamos, hecho todo menos los ultimos pasos y ademas pasado el VundoFix que me volvia a encontrar cosas sueltas por aqui...
En estos momentos estoy instalando el Explorer 7 y acabo de bajarme el SpywareBlaster


De momento me he cargado el 2dad... y el urroxtl, y el DelPsGuard ha matado al ismon. Este es el log que saca:

DelPSGuard
Escaneo a las: 20:20:00,00, 02/09/2006
SO: Microsoft Windows XP [Versi¢n 5.1.2600]


»»»»»»»»»»»» Carpetas y Archivos infectados »»»»»»»»»»»»

C:\WINDOWS\system32 \ishost.exe ...: ! Eliminado ! :...
C:\WINDOWS\system32 \ismon.exe ...: ! Eliminado ! :...

»»»»»»»»»»»» Programas Malwares »»»»»»»»»»»»



»»»»»»»»»»»» FIN »»»»»»»»»»»»


Despues de hacer todo esto y de pasar el VundoFix, con todo ya limpito, miro la carpeta WINDOWS/Temp. Vuelven a proliferar por si solos los archivos
winXX.tmp
En ese momento aun no habia vuelto a conectar el ordi a internet (lo tuve desconectado todo el proceso).
Ahora que esta conectado ha aparecido Corleone despues de unos minutos, lo que sigue es el ultimo log del HijackThis

Ah! la entrada a lo del USRobotics no la he eliminado puesto que se trata del modem y es algo que deberia estar ahí (al menos hasta donde se nnU)


Logfile of HijackThis v1.99.1
Scan saved at 22:21:44, on 02/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\Archivos de programa\TomTom HOME\TomTomHOME.exe
C:\Archivos de programa\Archivos comunes\{E8E90B5F-0A28-3082-0611-030305150022}\Update.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Archivos de programa\U.S. Robotics\SureConnect ADSL Modem\SureConnect ADSL Utility\USRSureConnect.exe
C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Archivos de programa\OpenOffice.org 2.0\program\soffice.exe
C:\Archivos de programa\OpenOffice.org 2.0\program\soffice.BIN
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\WINDOWS\TEMP\idd1E.tmp.exe
C:\Documents and Settings\Pedro\Mis documentos\MªJesús\programas\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 83.146.17.76:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {349176C3-0954-4B2A-B29F-314CCC0D5B48} - (no file)
O2 - BHO: (no name) - {3C8A7B48-DC54-46E2-A470-E7DE6FB6CA83} - (no file)
O2 - BHO: (no name) - {417E68AB-A5FD-4CBA-A52F-E33F22254B59} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5A3E97DD-2A08-48BC-8F43-C0DEABC90266} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: (no name) - {AD7259F9-4B38-D291-8A07-F85A590BEEAF} - (no file)
O2 - BHO: (no name) - {B10B4A80-66E7-44BA-878A-19308BB903CC} - (no file)
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O2 - BHO: (no name) - {C534C666-2EE5-416D-8978-5B1968951675} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Archivos de programa\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printra y.exe
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA CE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB002" /M "Stylus DX3800"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Archivos de programa\TomTom HOME\TomTomHOME.exe" -s
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Archivos de programa\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Aplicación de U.S. Robotics SureConnect ADSL.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download Using &BitSpirit - C:\Archivos de programa\BitSpirit\bsurl.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133206289953
O17 - HKLM\System\CCS\Services\Tcpip\..\{4EA78B46-DC68-46AE-B728-F1714BAB5050}: NameServer = 62.81.0.33,62.81.16.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{9BF8921F-CCE6-4415-917C-6E85DE2EC6CD}: NameServer = 193.152.63.197,194.179.1.100
O17 - HKLM\System\CS1\Services\Tcpip\..\{4EA78B46-DC68-46AE-B728-F1714BAB5050}: NameServer = 62.81.0.33,62.81.16.129
O20 - Winlogon Notify: winwly32 - C:\WINDOWS\SYSTEM32\winwly32.dll
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe




En breves momentos pasare el Spyware Blaster y dare resultados.
De momento observa la entrada de Corly, es la de idd1E.tmp.exe

Gracias por adelantado

Hola de nuevo

¿Como te conectas a internet, usas Proxi?

Esta entrada esta dañada, debes repararla reinistalando el Kit de tu ISP
O4 - Global Startup: Aplicación de U.S. Robotics SureConnect ADSL.lnk = ?

Es curioso pues en este log si aparece el dialer italiano por lo que podras eliminarlo sin mas.

Repites los pasos anteriores en luegar del 4 y 5 haces estos:

4. Con todos los programas cerrados ejecuta el HijackThis y dale “FIX Cheked” a las siguientes entradas:

O2 - BHO: (no name) - {349176C3-0954-4B2A-B29F-314CCC0D5B48} - (no file)
O2 - BHO: (no name) - {3C8A7B48-DC54-46E2-A470-E7DE6FB6CA83} - (no file)
O2 - BHO: (no name) - {417E68AB-A5FD-4CBA-A52F-E33F22254B59} - (no file)

O2 - BHO: (no name) - {5A3E97DD-2A08-48BC-8F43-C0DEABC90266} - (no file)

O2 - BHO: (no name) - {AD7259F9-4B38-D291-8A07-F85A590BEEAF} - (no file)
O2 - BHO: (no name) - {B10B4A80-66E7-44BA-878A-19308BB903CC} - (no file)

O2 - BHO: (no name) - {C534C666-2EE5-416D-8978-5B1968951675} - (no file)

O20 - Winlogon Notify: winwly32 - C:\WINDOWS\SYSTEM32\winwly32.dll


5. Busca y elimina estos archivos con el KillBox, usando la opcion delete on reboot.

C:\Archivos de programa\Archivos comunes\{E8E90B5F-0A28-3082-0611-030305150022}\Update.exe
C:\WINDOWS\TEMP\idd1E.tmp.exe
C:\WINDOWS\SYSTEM32\winwly32.dll
C:\Archivos de programa\Archivos comunes\{E8E90B5F-0A28-3082-0611-030305150022}\ << La carpeta con todo su contenido

Si no encuentras alguno usa el buscador (Inicio/Buscar/Todos los archivos y/o carpetas)

Vuelves a pasar DelPSGuard, Ad Ad Aware, RegSeeker, Disk Cleaner

Al finalizar deshaces los dos primeros pasos, pegas un nuevo log para ver los resultados y nos cuentas como te fue.

Saludos.

Hecho!! ya ha muerto Corleone y todo su sequito nn-

Bueno, el chiste es que el dialer no se activaba en modo seguro, que es desde donde estaba haciendo la limpieza XD
Mi conexion a internet es por modem que a su vez va conectado por usb a mi ordenata. La entrada dañada es en realidad un programa del aparato en cuestion, que comprueba si hay conexion siempre que inicio el ordenador. No es que sirva de mucho, asi que al final lo he quitado XD

En fin, una vez muerto el update.exe ya se ha acabado el problema. Le he pasado todos los programas que me habeis recomendado y el aparatito esta mas sano que nunca nn-
Muchisimas gracias por ayudarme!!

Hola de nuevo

Como ya no tienes mas problemas dare el tema como solucionado.

Salu2