Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola
Mi problema es con internet explorer 6 y la página de inicio. Simpre sale una titulada Search the web! cuya dirección es about:blank. Pongo otra página de inicio en opciones de internet y vuelve a aparecer esta. También cuando pincho en los enlaces de las páginas, unas veces al enlace correcto y esa página. Por ejemplo cuando voy al antivirus online de panda, siempre sale la página de Search the web.
La página está en inglés, arriba tiene un recuadro azul que pone "Search search the web" y un recuadro de texto con un botón Search como los buscadores. El resto de la pagina son un montón de enlaces agrupados por temas.
Para eliminarlo he desactivado restaurar sitema, reiniciado el equipo (windows xp pro) en modo seguro, analizado con spybot 1.42 y ad-aware se personal 1.05 actualizados, con CWShredder 2.15 eliminé un CWS.MSConfig y limpié con disk cleaner 1.5.5. He reiniciado el equipo en modo normal y analizado con el antivirus nod32, pero sigue el problema igual.

Gracias por la atención y espero que me podais ayudar.

Logfile of HijackThis v1.99.1
Scan saved at 1647, on 27/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Archivos de programa\Canon\VDC\AuVdc.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\Archivos de programa\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Archivos de programa\RealPopup\RealPopup.exe
C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Archivos de programa\Nikon\NkView4\NkVwMon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\SHA256\secure.exe
C:\WINDOWS\System32\msiexec.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Documents and Settings\José Ramón\Escritorio\clean\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.es
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.es
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.es
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.es
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SHA256] C:\Archivos de programa\SHA256\secure.exe
O4 - HKLM\..\Run: [REAL] C:\Archivos de programa\REAL\realjbox.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [LocalProxy] C:\Archivos de programa\LocalProxy\proxy4free.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [DSB] C:\Archivos de programa\DSB\dsb.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKCU\..\Run: [RealPopup] "C:\Archivos de programa\RealPopup\RealPopup.exe" BOOT
O4 - Startup: Microsoft Office Fast Cache.lnk = C:\MSOffice\Office\FASTBOOT.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkVwMon.exe.lnk = C:\Archivos de programa\Nikon\NkView4\NkVwMon.exe
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Microsoft® JavaScript® Console - {106082D8-B29D-4825-99E0-018D3488796C} - C:\WINDOWS\SYSTEM32\COMDLG32.OCX
O9 - Extra 'Tools' menuitem: JavaScript Console - {106082D8-B29D-4825-99E0-018D3488796C} - C:\WINDOWS\SYSTEM32\COMDLG32.OCX
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)
O9 - Extra button: Microsoft® JavaScript® Console - {106082D8-B29D-4825-99E0-018D3488796C} - C:\WINDOWS\SYSTEM32\COMDLG32.OCX (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console - {106082D8-B29D-4825-99E0-018D3488796C} - C:\WINDOWS\SYSTEM32\COMDLG32.OCX (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {377B5106-3B4E-4A2D-8520-8767590CAC86} (SVG Document) - http://gis.princast.es/sitpacarto/software/SVGView3.0.exe
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.mapguide.com/Downloads/MG_R6/En/Viewer/mgaxctrl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA4FFE37-9F75-4A39-94BC-A361B6DCC4CC}: NameServer = 194.179.1.100,193.152.63.197
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Canon NetSpot Suite Service - CANON INC. - C:\Archivos de programa\Canon\VDC\AuVdc.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe

Hola!!!

Sigue estos pasos:

1) Apaga Restaurar Sistema

2) Ver archivos ocultos

3) Pasa al menos 2 de estos Antivirus Online

4) Desde panel de control, agregar o quitar programas, desinstala, sie está:

SHA256
DSB

5) Reinicia a prueba de fallos

6) Ejecuta HIjackThis con todos los programas cerrados y dale fix a:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe

O4 - HKLM\..\Run: [SHA256] C:\Archivos de programa\SHA256\secure.exe

O4 - HKLM\..\Run: [DSB] C:\Archivos de programa\DSB\dsb.exe

O16 - DPF: {377B5106-3B4E-4A2D-8520-8767590CAC86} (SVG Document) - http://gis.princast.es/sitpacarto/software/SVGView3.0.exe

7) Busca y elimina estas carpetas:

C:\Archivos de programa\SHA256\
C:\Archivos de programa\DSB\

8) Limpia el registro con RegSeeker y pasa Ad-Aware actualizado.

9) Elimina cookies y temporales de internet con Disk Cleaner y vacia la papelera.

10) Reinicia normal y nos cuentas los resultados.

Saludos