Buenas, recientemente he obtenido conexión a internet para mi pc, pero ya habia instalado varios programas por lo que me encontre con bastantes bichos. He revisado el foro por unos días y segui los once pasos recomendados pero no he podido solucionar el problema por lo que pido su ayuda.

Bueno, baje primero el Nod32 y medetecto el look2me y unos troyanos que no fue capaz de eliminar. Luego baje el spybot y el ad-aware que tambien detectaron problemas pero no pueden eliminarlos por completo al parecer.
Hice un barrido con disk cleaner y continue con los antivirus.
En modo a prueba de fallos pase el spybot y elimino bastantes entradas pero cuando lo pase en modo normal volvio a reconocer como peligro algo llamado Network monitor.
Luego el ad-aware reconocio las amenazas Adware-look2me; ad-arenwin32.trojan.discharger; cmd services. Cuando le di a eliminar me dio un aviso que decia que no podia borrar el archivo
c:\windows\system32\i460lejn1hore.dll

*al reiniciar en modo normal el pc me dio una arventencia que decia "ha ocurrido una excepción al intentar ejecutar c:\windows\system32\opethil32.dll, dll get version ¿esto es algo malo?

posteriormente pase el antivirus online de ewido y me destaco las siguiuentes amenazas:
downloader.adload.ez
downloader.adload.ds
downloader.VB.abs
Adware.look2me
Adware.Vitunonde
lamentablemente cuando le di a eliminar internet explorer se cerró

Además el nod32 detecta un archivo llamado eraseme.11247.exe

Como no se mucho acerca de borrar archivos y me da miedo "romper" el pc prefiero pedir su ayuda para ver si alguien puede darme una solución.

aqui va el log de hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 15:12:02, on 31/08/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\pctspk.exe
C:\WINDOWS\System32\rundll32.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\Archivos de programa\Ahead\InCD\InCD.exe
C:\Archivos de programa\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
C:\Archivos de programa\D-Tools\daemon.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\cmd.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrador\Mis documentos\aplicaciones\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] "C:\Archivos de programa\Ahead\InCD\InCD.exe"
O4 - HKLM\..\Run: [Ulead Photo Express Verificador de Calendario] "C:\Archivos de programa\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MDM] MDN.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [MDM] MDN.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MDM] MDN.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [SpySweeperUninstallSurvey] Webroot Software
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english...an_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\dnp0017me.dll
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Location Manager - Unknown owner - C:\WINDOWS\system32\lssc.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

De antemano gracias por darse el tiempo de leer este mensaje y espero la ayuda de algun colaborador de la comunidad.

Hola karkamin, te doy la bienvenida al Foro de InfoSpyware.

Paso 1- Apaga el "Restaurar Sistema"

Paso 2- Descarga el programa Spy Sweeper 5.0 , Actualízalo pero no lo ejecutes aun.

Paso 3- Con todos los programas cerrados ejecuta el HijackThis y dale a estas entradas:

O4 - HKLM\..\Run: [MDM] MDN.exe

O4 - HKLM\..\RunServices: [MDM] MDN.exe

O4 - HKCU\..\Run: [MDM] MDN.exe

O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\dnp0017me.dll


Paso 4- Sin reiniciar con el programa "KillBox" elimina estos archivos:

C:\WINDOWS\system32\dnp0017me.dll



Paso 5- Ejecuta Spy Sweeper 5.0

Paso 6- Reinicia y hacele un escaneo online con "Panda ActiveScan Online"

Paso 7- Usa el Disk Cleaner para limpiar cookies y temporales y RegSeeker para limpiar el registro de Win.

Reinicia y nos contas los resultados.

Salu2

gracias por responder

segui los pasos, pero no pude darle al fix en el 020-winlogon...... porque no estaba y por lo tanto tampoco lo pude borrar (podría ser por que tuve que reiniciarlo ya que el hijackthis se quedaba pegado continuamente)

bueno, el spy sweeper encontro lo siguiente
look2me, en los siguientes archivos:
gp4ul3h91.dll
dMvclnt.dll
m8ls0i37e8.dll
dMvclnt.dll
gp4nl3h91.dll
opethk32.dll
icrhelp.dll

desktopbar (que esta en una carpeta en archivos de programa que contiene una archivo bat)

forethought (que esta en un archivo temporal)

command, que esta en el archivo c:\windows\cgm\w3g.vbs

No pude hacer el scan con panda porque el sitio me tira error

pongo el nuevo log del hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 19:14:02, on 31/08/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\pctspk.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\Ahead\InCD\InCD.exe
C:\Archivos de programa\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
C:\Archivos de programa\D-Tools\daemon.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ftp.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Webroot\Spy Sweeper\SSU.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Administrador\Mis documentos\aplicaciones\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] "C:\Archivos de programa\Ahead\InCD\InCD.exe"
O4 - HKLM\..\Run: [Ulead Photo Express Verificador de Calendario] "C:\Archivos de programa\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\m8ls0i37e8.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

gracias por tu ayuda

Hola, fíjate que la entrada 020 en HJT va a cambia en cada reinicio, ahora la que tenes es esta:

O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\m8ls0i37e8.dll

El Spy Sweeper pasalo en modo a prueba de fallos para ver si solo te puede eliminar algo mas.

Con lo que no pueda, siguiendo la ruta áselo eliminar con el programa "KillBox"

y nos contas.....

Salu2

killbox logró eliminar la mayoria, pero los archivos centrales del llok2me no los puede borrar. Además hay unas entradas de registro que no se que hacer con ellas (creo que son entradas de regitro). El spysweeper no los limpia porque pide suscripción.

te doy el resultado del spysweeper:
22:16: Indicios encontrados: 13
22:16: Barrido completo finalizado. Tiempo transcurrido 00:19:14
22:16: Barrido de archivos finalizado, tiempo transcurrido: 00:17:13
22:14: Advertencia: Failed to access drive E:
22:14: Advertencia: Failed to access drive D:
22 guard.tmp (ID = 159)
22:09: mpdtclog.dll (ID = 159)
22:09: lcrhelp.dll (ID = 159)
22:09: opethk32.dll (ID = 159)
22:09: dnl4013qe.dll (ID = 159)
22:09: ac3[1].txt (ID = 341811)
22:09: Encontrado Adware: forethought
22:08: ddiman32.dll (ID = 159)
22:07: deskbar[1].exe (ID = 339222)
22:04: i860lijm18oa.dll (ID = 159)
21:59: Iniciando barrido de archivos
21:59: Advertencia: Failed to access drive A:
21:59: Barrido de cookies finalizado, tiempo transcurrido: 00:00:00
21:59: Iniciando barrido de cookies
21:59: Barrido de registro finalizado, tiempo transcurrido:00:00:36
21:59: HKU\S-1-5-18\software\dbtb00001\ (ID = 1595725)
21:58: HKU\S-1-5-21-725345543-1960408961-2147124373-500\software\microsoft\internet explorer\urlsearchhooks\ || {a8b28872-3324-4cd2-8aa3-7d555c872d96} (ID = 1596954)
21:58: Encontrado Adware: desktop bar
21:58: Iniciando barrido de registro
21:58: Barrido de memoria finalizado, tiempo transcurrido: 00:00:58
21:58: Amenaza en ejecución detectada: mpdtclog.dll (ID = 159)
21:57: Amenaza en ejecución detectada: i860lijm18oa.dll (ID = 159)
21:57: Encontrado Adware: look2me
21:57: Iniciando barrido de memoria
21:57: Advertencia: TVolume.Read: read past end of volume size: 0 reading cluster: 0
21:57: Barrido iniciado utilizando la versión de las definiciones 752
21:57: Spy Sweeper 5.0.7.1608 iniciado
21:57: | Inicio de sesión, jueves, 31 de agosto de 2006 |
********
21:57: | Fin de la sesión, jueves, 31 de agosto de 2006 |
21:56: Versión del programa 5.0.7.1608 Utilizar definiciones 752
21:39: Protector contra la instalación de espías: encontrado: Adware: command, versión 1.0.0.0 -- Ejecución permitida a petición del usuario
Protector contra Keyloggers: Desactivado
Protector BHO: Activado
Protector de la configuración de seguridad del IE: Activado
Protector de ejecución de ADS (Flujo de datos alternados): Activado
Protector de Inicio: Activado
Protector de sitios publicitarios habituales: Desactivado
Protector de archivos Hosts: Activado
Protector de comunicación de espías : Activado
Protector ActiveX: Activado
Protector de Windows Messenger Service: Activado
Protector de favoritos de IE: Activado
Protector contra la instalación de espías: Activado
Protector de la memoria: Activado
Protector contra la modificación del IE: Activado
Protector contras las cookies de rastreo de IE: Desactivado
21:36: Estado de los protectores
21:36: Definiciones de espías: 752
21:36: Spy Sweeper 5.0.7.1608 iniciado

los archivos que el killbox no puede borrar (incluso trate de que los borrara al reiciar el pc) son: c:\windows\system32\i860lijm18oa.dll;c:\windows\sy stem32\dnl4013qe.dll;c:\windows\system32\mpdtclog. dll. estos son los que identifica con el look2me

las que identifique como algo parecido a entradas de registro son las que comienzan con HKU....

espero que esto sea de util para encontrar el origen de estos gusanos tan molestos.
gracias por la ayuda

Hola, proba seguir los pasos de esta otro post usando la herramienta Look2Me-Destroyer.exe

y nos contas los resultados....

SAlu2

gracias, por fin el look2me fue eliminado. Revise con distintos antivirus y el spysweeper es el unico que me detecta el desktop bar, relacionado con esos archivos que comienzan con hku.

Gracias