Agradezco la ayuda brindada, y en realidad espero deshacerme de estas paginas y paginas web que se abren sin que yo lo pida.

El dia de ayer envie mi log y me dieron intrucciones, ahora envio los resultados del estado de mi pc (log)

Logfile of HijackThis v1.99.1
Scan saved at 14:54:55, on 06/04/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Archivos de programa\AVPersonal\AVGUARD.EXE
C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\arybsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svhost.exe
C:\WINNT\XPsys.exe
C:\WINNT\yahoo22.exe
C:\WINNT\yahoo22.exe
C:\WINNT\yahoo22.exe
C:\WINNT\yahoo22.exe
C:\WINNT\yahoo22.exe
C:\Archivos de programa\AVPersonal\AVGNT.EXE
C:\Archivos de programa\Winamp\winampa.exe
C:\WINNT\system32\LXSUPMON.EXE
C:\WINNT\system32\msxct.exe
C:\program files\tvs\tvs_b.exe
C:\Archivos de programa\AVPersonal\AVSched32.EXE
C:\WINNT\uefmdll.exe
C:\WINNT\uefmenc.EXE
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\WINNT\system32\internat.exe
c:\winnt\system32\eqonlw.exe
C:\Archivos de programa\Hewlett-Packard\LaserJet All-in-one\hppdirector.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINNT\system32\rundll32.exe
C:\Archivos de programa\Microsoft Office\Office\3082\msoffice.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2. EXE
C:\WINNT\system32\cmd.exe
C:\Archivos de programa\Archivos comunes\services.exe
C:\Archivos de programa\WebSiteViewer\13311680temp.exe
C:\Archivos de programa\WebSiteViewer\125190.exe
C:\ARCHIV~1\WinZip\winzip32.exe
C:\unzipped\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http//:www.google.com.mx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - _{77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe
F3 - REG:win.ini: run=C:\WINNT\system32\svhost.exe
O1 - Hosts: 200.53.122.92 FAOSAGARPA
O2 - BHO: (no name) - {0AD937E7-2F37-4873-A05E-548A67EF1D0E} - (no file)
O2 - BHO: VBRunDLL Class - {197B8CA4-E215-46DD-8F33-E0544A80E5C4} - C:\WINNT\system32\vbrundll.dll
O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - C:\WINDOWS\SYSTEM\Loader.dll (file missing)
O2 - BHO: PBHelper - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Archivos de programa\Oemji\Toolbar\PopupBlocker\PBHelper.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: FlashEnhancer Ext - {5EDB03AF-0341-4e96-9E9B-3171522E4BAF} - c:\Program Files\Fla\fla.dll
O2 - BHO: ohb - {9ADE0443-2AB2-4B23-A3F8-AC520773DE12} - C:\WINNT\system32\nsi45A.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: XBTB07618 - {BBBE1C1A-89F7-4AF6-ABD1-F8FBCFA47408} - C:\ARCHIV~1\MAXIFI~1\MAXIFI~1.DLL
O2 - BHO: OemjiSearchPlus - {D240DC29-C093-4388-B71F-A7103C796B0C} - C:\Archivos de programa\Oemji\OemjiSearchPlus\OemjiPls.dll (file missing)
O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINNT\pumba2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Oemji - {804DB5C7-31E6-4885-850A-F1941B58A4C7} - C:\Archivos de programa\Oemji\Toolbar\OemjiSrc.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: Search Toolbar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINNT\pumba2.dll
O3 - Toolbar: IE Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Archivos de programa\MaxiFiles\maxifiles.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\Archivos de programa\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\Epson\Ink Monitor\Inkmonitor.exe
O4 - HKLM\..\Run: [HP SchedIndexer] C:\Archivos de programa\Hewlett-Packard\LaserJet All-in-one\hppschedindexer.exe
O4 - HKLM\..\Run: [HP AutoIndexer] C:\Archivos de programa\Hewlett-Packard\LaserJet All-in-one\hppautoindexer.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [gah95on6] C:\WINNT\system32\gah95on6.exe
O4 - HKLM\..\Run: [System backup] C:\WINNT\system32\web.exe
O4 - HKLM\..\Run: [MvKB] C:\WINNT\xqrpg.exe
O4 - HKLM\..\Run: [Sysnet] C:\WINNT\system32\snuninst.exe
O4 - HKLM\..\Run: [regsync] C:\WINNT\system32\regsync.exe
O4 - HKLM\..\Run: [msxct] msxct.exe
O4 - HKLM\..\Run: [tvs_b] C:\program files\tvs\tvs_b.exe
O4 - HKLM\..\Run: [FlaCPY] "C:\Program Files\Common Files\Java\flacpy.exe"
O4 - HKLM\..\Run: [AVSCHED32] C:\Archivos de programa\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [uefmdll] C:\WINNT\uefmdll.exe
O4 - HKLM\..\Run: [uefmenc] C:\WINNT\uefmenc.EXE
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [jqtmyii] c:\winnt\system32\eqonlw.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [System backup] C:\WINNT\system32\web.exe
O4 - HKCU\..\Run: [DNS] C:\Archivos de programa\Archivos comunes\mc-58-12-0000093.exe
O4 - HKCU\..\Run: [Wopa] C:\Archivos de programa\raac\hmah.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: HP LaserJet Director.lnk = C:\Archivos de programa\Hewlett-Packard\LaserJet All-in-one\hppdirector.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02. EXE
O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {045AF483-053F-34E8-5512-74815BBC8973} - http://67.19.178.86/1/rdgMX1742.exe
O16 - DPF: {0ACD5D54-3D92-4263-33E1-500061DE3B1B} - http://67.19.178.86/1/rdgMX1742.exe
O16 - DPF: {0E9C8270-509B-7BDC-9BE0-168F3014C1BA} - http://67.19.178.86/1/rdgMX1742.exe
O16 - DPF: {11311111-1551-1661-1771-000000000000} - http://www.find-to-you.com/pics/web.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Me...bridge-c18.cab
O16 - DPF: {275C091C-C48F-09CF-D5C0-69C8497E7DC5} - http://67.19.178.86/1/rdgMX1742.exe
O16 - DPF: {30CE93AE-4987-483C-9ABE-F2BD5301AB70} - http://64.156.31.143/100279/uy/adult1/adult1.exe
O16 - DPF: {527196A4-B1A3-4647-931D-37BA5AF23037} - http://crazy-toolbar.com/Romanss/62/soft.exe
O16 - DPF: {5C48B541-B783-68A3-6664-203157F70AC9} - http://67.19.178.86/1/rdgMX1742.exe
O16 - DPF: {618E2EE5-07BE-6FA4-D5E7-4789428B3CFF} - http://67.19.178.86/1/rdgMX1742.exe
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB
O16 - DPF: {D62B5127-8D03-4175-BA71-E0041595DA4B} (UDConnect Class) - http://03.sharedsource.org/html/Tria...1.0.0.3ie.cab?
O16 - DPF: {E53458D2-5A83-4BD1-8DE2-EEEBE73BAB49} - http://content-loader.com/load/ccaccess.cab
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Archivos de programa\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe
O23 - Service: Windows VisFx Components - Unknown owner - C:\WINNT\arybsvc.exe

Hola!!!

Tu pc esta tan infectada que sería mas sencillo decirte que entradas dejar .

Comienza por desinstalar estos programas desde panel de control/agregar o quitar programas:

ISTsvc
Fla
SideFind
MaxiFiles
Oemji
BullsEye Network
tvs
Fla
YourSiteBar
raac

Este archivo mándalo a analizar a Virus Total y nos cuentas los resultados de este análisis:

C:\Archivos de programa\Archivos comunes\services.exe


IMPORTANTE:

Ejecuta TZ-Kill.inf para eliminar las entradas 015-Trusted.

Sigue los 11 pasos de este Tutorial sin saltarte ninguno. Cuando estes en el paso de analizar con antivirus online procura pasar al menos dos.

Después reinicia y nos dejas un nuevo log de HijackThis contándonos los resultados de las herramientas del tutorial y del análisis con Virus Total.

Saludos

__________________

Hola a todos, primermente quiero decir que este es el unico foro que he encontrado anti spyware. Ya envie una vez mi log hace dos semanas a la cual me dieron respuesta, pero al parecer no funcionó o no supe bien que hacer por no estar familiarizado con todos los programas y una vez que huve hecho (o tratado de hacer) todos los pasos indicados, envie de nuevo mi log al cual no tuve respuesta. Este fin de semana me dedique a buscar en el foro y encontré un tema llamado "los 14 pasos fundamentales de una buena eliminación, el cual aplique a mi computadora y funcionó muy bien.

Ahora envio mi log porque aun tengo algunos problemitas de algunas ventanas con los control activex y otras espero que me ayuden.

Logfile of HijackThis v1.99.1
Scan saved at 12:26:59, on 06/13/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.exe
C:\WINNT\system32\svhost.exe
C:\WINNT\XPsys.exe
C:\WINNT\yahoo22.exe
C:\Archivos de programa\AVPersonal\AVGNT.EXE
C:\Archivos de programa\Winamp\winampa.exe
C:\WINNT\system32\LXSUPMON.EXE
C:\program files\tvs\tvs_b.exe
C:\Archivos de programa\AVPersonal\AVSched32.EXE
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\WINNT\system32\internat.exe
C:\Archivos de programa\Hewlett-Packard\LaserJet All-in-one\hppdirector.exe
C:\WINNT\system32\cmd.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\Archivos de programa\Archivos comunes\services.exe
C:\Archivos de programa\Microsoft Office\Office\3082\msoffice.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2. EXE
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Microsoft Office\Office\EXCEL.EXE
C:\WINNT\38904.exe
C:\WINNT\59944.exe
c:\winnt\system32\mvwquw.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\ARCHIV~1\WinZip\winzip32.exe
C:\WINNT\10995.exe
C:\unzipped\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://mx.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - _{77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe
F3 - REG:win.ini: run=C:\WINNT\system32\svhost.exe
O1 - Hosts: 200.53.122.92 FAOSAGARPA
O2 - BHO: (no name) - {0AD937E7-2F37-4873-A05E-548A67EF1D0E} - (no file)
O2 - BHO: Shorty - {11A4CA8C-A8B9-49c2-A6D3-3F64C9EEBAE6} - C:\Archivos de programa\DNS\Catcher.dll
O2 - BHO: VBRunDLL Class - {197B8CA4-E215-46DD-8F33-E0544A80E5C4} - C:\WINNT\system32\vbrundll.dll
O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - C:\WINDOWS\SYSTEM\Loader.dll (file missing)
O2 - BHO: PBHelper - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Archivos de programa\Oemji\Toolbar\PopupBlocker\PBHelper.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ohb - {9ADE0443-2AB2-4B23-A3F8-AC520773DE12} - C:\WINNT\system32\nso1BE.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: XBTB07618 - {BBBE1C1A-89F7-4AF6-ABD1-F8FBCFA47408} - C:\ARCHIV~1\MAXIFI~1\MAXIFI~1.DLL (file missing)
O2 - BHO: OemjiSearchPlus - {D240DC29-C093-4388-B71F-A7103C796B0C} - C:\Archivos de programa\Oemji\OemjiSearchPlus\OemjiPls.dll (file missing)
O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINNT\pumba2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Oemji - {804DB5C7-31E6-4885-850A-F1941B58A4C7} - C:\Archivos de programa\Oemji\Toolbar\OemjiSrc.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: Search Toolbar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINNT\pumba2.dll
O3 - Toolbar: IE Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Archivos de programa\Maxifiles\maxifiles.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] "C:\Archivos de programa\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\Epson\Ink Monitor\Inkmonitor.exe
O4 - HKLM\..\Run: [HP SchedIndexer] C:\Archivos de programa\Hewlett-Packard\LaserJet All-in-one\hppschedindexer.exe
O4 - HKLM\..\Run: [HP AutoIndexer] C:\Archivos de programa\Hewlett-Packard\LaserJet All-in-one\hppautoindexer.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [gah95on6] C:\WINNT\system32\gah95on6.exe
O4 - HKLM\..\Run: [System backup] C:\WINNT\system32\web.exe
O4 - HKLM\..\Run: [MvKB] C:\WINNT\xqrpg.exe
O4 - HKLM\..\Run: [Sysnet] C:\WINNT\system32\snuninst.exe
O4 - HKLM\..\Run: [regsync] C:\WINNT\system32\regsync.exe
O4 - HKLM\..\Run: [tvs_b] C:\program files\tvs\tvs_b.exe
O4 - HKLM\..\Run: [FlaCPY] "C:\Program Files\Common Files\Java\flacpy.exe"
O4 - HKLM\..\Run: [AVSCHED32] C:\Archivos de programa\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [jkfjki] c:\winnt\system32\mvwquw.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [System backup] C:\WINNT\system32\web.exe
O4 - HKCU\..\Run: [DNS] C:\Archivos de programa\Archivos comunes\mc-58-12-0000093.exe
O4 - HKCU\..\Run: [Wopa] C:\Archivos de programa\raac\hmah.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: HP LaserJet Director.lnk = C:\Archivos de programa\Hewlett-Packard\LaserJet All-in-one\hppdirector.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02. EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.addictivetechnologies.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.c4tdownload.com (HKLM)
O15 - Trusted Zone: *.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.megapornix.com (HKLM)
O15 - Trusted Zone: *.overpro.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {031B6D43-CBC4-46A5-8E46-CF8B407C1A33} - http://qck.cc/x/ipreg32.cab
O16 - DPF: {045AF483-053F-34E8-5512-74815BBC8973} - http://67.19.178.86/1/rdgMX1742.exe
O16 - DPF: {0ACD5D54-3D92-4263-33E1-500061DE3B1B} - http://67.19.178.86/1/rdgMX1742.exe
O16 - DPF: {0D192EF8-457A-4CD5-A64D-58E126E02E8E} - http://67.19.178.86/1/rdgMX1742.exe
O16 - DPF: {0E9C8270-509B-7BDC-9BE0-168F3014C1BA} - http://67.19.178.86/1/rdgMX1742.exe
O16 - DPF: {11311111-1551-1661-1771-000000000000} - http://www.find-to-you.com/pics/web.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
O16 - DPF: {275C091C-C48F-09CF-D5C0-69C8497E7DC5} - http://67.19.178.86/1/rdgMX1742.exe
O16 - DPF: {30CE93AE-4987-483C-9ABE-F2BD5301AB70} - http://64.156.31.143/100279/uy/adult1/adult1.exe
O16 - DPF: {527196A4-B1A3-4647-931D-37BA5AF23037} - http://crazy-toolbar.com/Romanss/62/soft.exe
O16 - DPF: {5C48B541-B783-68A3-6664-203157F70AC9} - http://67.19.178.86/1/rdgMX1742.exe
O16 - DPF: {618E2EE5-07BE-6FA4-D5E7-4789428B3CFF} - http://67.19.178.86/1/rdgMX1742.exe
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB
O16 - DPF: {D62B5127-8D03-4175-BA71-E0041595DA4B} (UDConnect Class) - http://03.sharedsource.org/html/TriacomUD_1.0.0.3ie.cab?
O16 - DPF: {E53458D2-5A83-4BD1-8DE2-EEEBE73BAB49} - http://content-loader.com/load/ccaccess.cab
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Archivos de programa\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe

Hola!!!

Uni tus mensajes porque no debes abrir nuevos temas para lo mismo hasta que este no se de por solucionado.

Ya te ofrecí mi ayuda, pero por lo visto la has despreciado.

Ya te dije que tu pc está muy infectada y no se puede sacar todo de una vez, por lo que si quieres obtener resultados positivos tendrás que ir poco a poco.

No has hecho nada de lo que te pedí, no has desinstalado lo que te pedí, no nos has dado el resultado del análisis con Virus Total, no nos has contado que te detectaron las herramientas del tutorial....no has hecho nada de nada.

Si quieres ser ayudado debes seguir esos pasos y si no, no nos hagas perder más el tiempo...

Te vuelvo a repetir:

Sigue los pasos que te mencioné anteriormente y admás sigue estos pasos para "Eliminar Nail.exe" y después nos dejas tu nuevo log comentando lo que te pido para poder seguir limpiando tu pc.

Si no sabes realizar algún paso sólo tienes que decirlo, pulsando "Responder" y ya te explicamos...

SI QUIERES HACER CASO SIGUE LOS PASOS Y SI NO NO NOS HAGAS PERDER MÁS EL TIEMPO. LA PRÓXIMA VEZ NO RECIBIRAS MÁS RESPUESTAS.

Saludos

__________________

Estimado amigo Jereque, antes que nada le suplico de muy atenta manera no se moleste conmigo por haber puesto un nuevo anuncio en el foro y permítame manifestarle que no tengo ninguna intención de molestarlo, a su vez aprovecho para pedirle me tenga paciencia ya que soy nuevo en el foro y además desconozco las herramientas para quitar los spyware de mi PC. A la vez quiero decirle que ya entendi como funciona el foro y agradezco su ayuda.

En seguida describo lo que he encontrado en lo que me has recomendado.

1. Ya borré todos los programas que me indicas, te ruego que si detectas que alguno no ha sido eliminado, por favor no os molestes y me lo digas.

2. El archivo “C:archivos comunes/Services.exe” ya lo analicé en virus total y no fue detectado ningún virus.

3. El TZ-Kill.inf fue ejecutado en mi PC.

4. He ejecutado los 11 pasos para eliminar los spyware, cabe mencionar que estos pasos los he hecho un sinfín de ocasiones. Los resultados del análisis con las herramientas (todos ellos ejecutados en sistema seguro o a prueba de fallos) los muestro a continuación:

Search & Destroy

- Ningun espia

Ad ware se.

- MRU List

SpywareBlaster

- En este programa te pido una disculpa ya que no entiendo bien su funcionamiento, ya que viene en ingles, aunque te escribo lo que me da de resultados en la ventana Status:
- Internet Explorer protections enabled: 0 item
- Restricted sites protection : 0 items
- Mozilla/ firefox not installed:
- SpywareBlaster data base: 5/14/05

AntySpyware Beta 1.0

- 0 items encontrados

AboutBuster 4.0

- No archivos encontrados

Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 11:33:07, on 06/16/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Archivos de programa\Microsoft Office\Office\WINWORD.EXE
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\ARCHIV~1\WinZip\winzip32.exe
C:\DOCUME~1\Cochasa\CONFIG~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - _{77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)
F3 - REG:win.ini: run=C:\WINNT\system32\svhost.exe
O1 - Hosts: 200.53.122.92 FAOSAGARPA
O2 - BHO: (no name) - {0AD937E7-2F37-4873-A05E-548A67EF1D0E} - (no file)
O2 - BHO: Shorty - {11A4CA8C-A8B9-49c2-A6D3-3F64C9EEBAE6} - C:\Archivos de programa\DNS\Catcher.dll
O2 - BHO: VBRunDLL Class - {197B8CA4-E215-46DD-8F33-E0544A80E5C4} - C:\WINNT\system32\vbrundll.dll (file missing)
O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - C:\WINDOWS\SYSTEM\Loader.dll (file missing)
O2 - BHO: PBHelper - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Archivos de programa\Oemji\Toolbar\PopupBlocker\PBHelper.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ohb - {9ADE0443-2AB2-4B23-A3F8-AC520773DE12} - C:\WINNT\system32\nso1BE.dll
O2 - BHO: OemjiSearchPlus - {D240DC29-C093-4388-B71F-A7103C796B0C} - C:\Archivos de programa\Oemji\OemjiSearchPlus\OemjiPls.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Oemji - {804DB5C7-31E6-4885-850A-F1941B58A4C7} - C:\Archivos de programa\Oemji\Toolbar\OemjiSrc.dll (file missing)
O3 - Toolbar: (no name) - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\Epson\Ink Monitor\Inkmonitor.exe
O4 - HKLM\..\Run: [HP SchedIndexer] C:\Archivos de programa\Hewlett-Packard\LaserJet All-in-one\hppschedindexer.exe
O4 - HKLM\..\Run: [HP AutoIndexer] C:\Archivos de programa\Hewlett-Packard\LaserJet All-in-one\hppautoindexer.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [gah95on6] C:\WINNT\system32\gah95on6.exe
O4 - HKLM\..\Run: [System backup] C:\WINNT\system32\web.exe
O4 - HKLM\..\Run: [MvKB] C:\WINNT\xqrpg.exe
O4 - HKLM\..\Run: [Sysnet] C:\WINNT\system32\snuninst.exe
O4 - HKLM\..\Run: [regsync] C:\WINNT\system32\regsync.exe
O4 - HKLM\..\Run: [tvs_b] C:\program files\tvs\tvs_b.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [FlaCPY] "C:\Program Files\Common Files\Java\flacpy.exe"
O4 - HKLM\..\Run: [AVSCHED32] C:\Archivos de programa\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Archivos de programa\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [xsosti] c:\winnt\system32\vnoliel.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [System backup] C:\WINNT\system32\web.exe
O4 - HKCU\..\Run: [Wopa] C:\Archivos de programa\raac\hmah.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: HP LaserJet Director.lnk = C:\Archivos de programa\Hewlett-Packard\LaserJet All-in-one\hppdirector.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02. EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Archivos de programa\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE


Te suplico me perdones el no enviarte el resultado de eliminar el archivo nail.exe ya que de momento me gustaría que seas tan amable de decirme si realicé bien los 11 pasos. Aunque debo decirte que ya una vez trate de eliminar ese archivo, espero que exista alguna forma de que puedas enterarte y me indiques si aun está en mi PC.

De antemano Gracias. Recibe saludos y prometo no causarte mas enojos. Saludos.

Por si el log en a prueba de fallos no te sirve para analizar mi Pc, tambien te envio el que me aparece cuando inicio la secion normal. Espero no lenar de paja este recado.

Logfile of HijackThis v1.99.1
Scan saved at 12:11:44, on 06/16/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\svhost.exe
C:\WINNT\XPsys.exe
C:\WINNT\yahoo22.exe
C:\WINNT\yahoo22.exe
C:\WINNT\yahoo22.exe
C:\WINNT\yahoo22.exe
C:\WINNT\yahoo22.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\WINNT\system32\LXSUPMON.EXE
C:\program files\tvs\tvs_b.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\Archivos de programa\AVPersonal\AVSched32.EXE
C:\Archivos de programa\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
c:\winnt\system32\wcbhisu.exe
C:\Archivos de programa\Hewlett-Packard\LaserJet All-in-one\hppdirector.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\Archivos de programa\Microsoft Office\Office\3082\msoffice.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2. EXE
C:\WINNT\77852.exe
C:\ARCHIV~1\WinZip\winzip32.exe
C:\DOCUME~1\Cochasa\CONFIG~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - _{77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)
F3 - REG:win.ini: run=C:\WINNT\system32\svhost.exe
O1 - Hosts: 200.53.122.92 FAOSAGARPA
O2 - BHO: (no name) - {0AD937E7-2F37-4873-A05E-548A67EF1D0E} - (no file)
O2 - BHO: Shorty - {11A4CA8C-A8B9-49c2-A6D3-3F64C9EEBAE6} - C:\Archivos de programa\DNS\Catcher.dll
O2 - BHO: VBRunDLL Class - {197B8CA4-E215-46DD-8F33-E0544A80E5C4} - C:\WINNT\system32\vbrundll.dll (file missing)
O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - C:\WINDOWS\SYSTEM\Loader.dll (file missing)
O2 - BHO: PBHelper - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Archivos de programa\Oemji\Toolbar\PopupBlocker\PBHelper.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: FlashEnhancer Ext - {5EDB03AF-0341-4e96-9E9B-3171522E4BAF} - c:\Program Files\Fla\fla.dll
O2 - BHO: ohb - {9ADE0443-2AB2-4B23-A3F8-AC520773DE12} - C:\WINNT\system32\nso1BE.dll
O2 - BHO: OemjiSearchPlus - {D240DC29-C093-4388-B71F-A7103C796B0C} - C:\Archivos de programa\Oemji\OemjiSearchPlus\OemjiPls.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Oemji - {804DB5C7-31E6-4885-850A-F1941B58A4C7} - C:\Archivos de programa\Oemji\Toolbar\OemjiSrc.dll (file missing)
O3 - Toolbar: (no name) - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\Epson\Ink Monitor\Inkmonitor.exe
O4 - HKLM\..\Run: [HP SchedIndexer] C:\Archivos de programa\Hewlett-Packard\LaserJet All-in-one\hppschedindexer.exe
O4 - HKLM\..\Run: [HP AutoIndexer] C:\Archivos de programa\Hewlett-Packard\LaserJet All-in-one\hppautoindexer.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [gah95on6] C:\WINNT\system32\gah95on6.exe
O4 - HKLM\..\Run: [System backup] C:\WINNT\system32\web.exe
O4 - HKLM\..\Run: [MvKB] C:\WINNT\xqrpg.exe
O4 - HKLM\..\Run: [Sysnet] C:\WINNT\system32\snuninst.exe
O4 - HKLM\..\Run: [regsync] C:\WINNT\system32\regsync.exe
O4 - HKLM\..\Run: [tvs_b] C:\program files\tvs\tvs_b.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [FlaCPY] "C:\Program Files\Common Files\Java\flacpy.exe"
O4 - HKLM\..\Run: [AVSCHED32] C:\Archivos de programa\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Archivos de programa\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [kekdbst] c:\winnt\system32\wcbhisu.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [System backup] C:\WINNT\system32\web.exe
O4 - HKCU\..\Run: [Wopa] C:\Archivos de programa\raac\hmah.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: HP LaserJet Director.lnk = C:\Archivos de programa\Hewlett-Packard\LaserJet All-in-one\hppdirector.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02. EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Archivos de programa\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE

Hola!!!

Bueno, igual me pillaste en un mal dia... quiero que entiendas que pretendo ayudarte, pero los pasos no los puedo realizar yo por ti...igual si tuviera tu pc delante acababamos antes, pero no lo tengo...y trato de explicarte lo mas claro que pueda. En el primer mensaje trataba de que eliminaras aquellos programas que se te han instalado, ya que hay que ir poco a poco porque hay muchas cosas para eliminar en tu pc. Y para nada te dije que con eso acabaría tu problema y por eso te pedí un nuevo log, para continuar con la eliminación.

Te pedí el analisi de virus total porque services.exe es un archivo legítimo, pero en el directorio que debería estar es en system32.

Y te pedí que siguieras los pasos del tutorial porque con esos programas se eliminan muchas cosas de forma automática...ahora tu log cambió, lo que indica que ya seguiste los pasos (no se si todos pero almenos se eliminaron muchas cosas).

Y no me extiendo mas...

Sigue estos pasos:

1) Ver archivos ocultos

2) Pasa al menos 2 de estos Antivirus Online

3) Reinicia a prueba de fallos

4) Desde panel de control/agregar o quitar programas, desinstala si está:

DNS
Fla
tvs
raac

5) Creale una carpeta propia a HijackThis para meterlo dentro (no lo ejecutes desde Temp), ejecutalo con todos los programas cerrados y selecciona estas entradas para darle "Fix Checked":

R3 - URLSearchHook: (no name) - _{77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)


F3 - REG:win.ini: run=C:\WINNT\system32\svhost.exe

O2 - BHO: (no name) - {0AD937E7-2F37-4873-A05E-548A67EF1D0E} - (no file)

O2 - BHO: Shorty - {11A4CA8C-A8B9-49c2-A6D3-3F64C9EEBAE6} - C:\Archivos de programa\DNS\Catcher.dll

O2 - BHO: VBRunDLL Class - {197B8CA4-E215-46DD-8F33-E0544A80E5C4} - C:\WINNT\system32\vbrundll.dll (file missing)

O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - C:\WINDOWS\SYSTEM\Loader.dll (file missing

O2 - BHO: PBHelper - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Archivos de programa\Oemji\Toolbar\PopupBlocker\PBHelper.dll (file missing)

O2 - BHO: FlashEnhancer Ext - {5EDB03AF-0341-4e96-9E9B-3171522E4BAF} - c:\Program Files\Fla\fla.dll

O2 - BHO: ohb - {9ADE0443-2AB2-4B23-A3F8-AC520773DE12} - C:\WINNT\system32\nso1BE.dll

O2 - BHO: OemjiSearchPlus - {D240DC29-C093-4388-B71F-A7103C796B0C} - C:\Archivos de programa\Oemji\OemjiSearchPlus\OemjiPls.dll (file missing)

O3 - Toolbar: Oemji - {804DB5C7-31E6-4885-850A-F1941B58A4C7} - C:\Archivos de programa\Oemji\Toolbar\OemjiSrc.dll (file missing)

O3 - Toolbar: (no name) - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - (no file)

O4 - HKLM\..\Run: [gah95on6] C:\WINNT\system32\gah95on6.exe

O4 - HKLM\..\Run: [System backup] C:\WINNT\system32\web.exe

O4 - HKLM\..\Run: [MvKB] C:\WINNT\xqrpg.exe

O4 - HKLM\..\Run: [Sysnet] C:\WINNT\system32\snuninst.exe

O4 - HKLM\..\Run: [regsync] C:\WINNT\system32\regsync.exe

O4 - HKLM\..\Run: [tvs_b] C:\program files\tvs\tvs_b.exe

O4 - HKLM\..\Run: [FlaCPY] "C:\Program Files\Common Files\Java\flacpy.exe"

O4 - HKLM\..\Run: [kekdbst] c:\winnt\system32\wcbhisu.exe

O4 - HKCU\..\Run: [System backup] C:\WINNT\system32\web.exe

O4 - HKCU\..\Run: [Wopa] C:\Archivos de programa\raac\hmah.exe

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)

O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll

6) Busca y elimina estos archivos y/o carpetas:

C:\WINNT\XPsys.exe
C:\WINNT\yahoo22.exe
C:\program files\tvs\
c:\winnt\system32\wcbhisu.exe
C:\WINNT\77852.exe
C:\WINNT\system32\svhost.exe --> no lo confundas con svchost.exe
C:\Archivos de programa\DNS\
C:\WINNT\system32\vbrundll.dll
C:\WINDOWS\SYSTEM\Loader.dll
c:\Program Files\Fla\
C:\WINNT\system32\nso1BE.dll
C:\WINNT\system32\gah95on6.exe
C:\WINNT\system32\web.exe
C:\WINNT\xqrpg.exe
C:\WINNT\system32\snuninst.exe
C:\WINNT\system32\regsync.exe
C:\Program Files\Common Files\Java\flacpy.exe
C:\Archivos de programa\raac\
C:\winstall.exe

Para archivos que no se dejen eliminar usa KillBox

7) Limpia el registro con RegSeeker y pasa Ad-Aware actualizado.

8) Elimina cookies y temporales con Disk Cleaner y vacía la papelera.

9) Reinicia normal y nos cuentas los resultados.

Saludos

PD// Para programas que no sepas usar visita la sección de Manuales en Español

__________________

Hola querido amigo Jereque, perdonaras la demora pero he estado algo ocupado en cuestiones de trabajo y no me había sido posible responderte los resultados de tus consejos. Espero ir mejor en esto de despejar mi PC de estas cosas. Quiero decirte que agradezco infinitamente tu dedicación hacia mi para eliminar los spyware de mi pc, aunque falten varias cosas por hacer (segun entiendo).

Te explico un poco de los problemas que ahora tengo: el archivo raac, spysherif, mc-58-12-0000093.exe no les puedo eliminar por más que los borro, suprimo y desinstalo, en estos dias me apareció un mensaje que que dice que hay problemas con el archivo chkdsk.

te envio mi log

Logfile of HijackThis v1.99.1
Scan saved at 11:09:01, on 06/25/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\ARCHIV~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\ARCHIV~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\ARCHIV~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\ARCHIV~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\ARCHIV~1\TRENDM~1\INTERN~1\PccGuide.exe
C:\WINNT\system32\cmd.exe
C:\Archivos de programa\Archivos comunes\services.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\raac\hmah.exe
C:\ARCHIV~1\COMMON~1\zimu\zimum.exe
C:\ARCHIV~1\COMMON~1\zimu\zimua.exe
C:\WINNT\system32\LXSUPMON.EXE
C:\Archivos de programa\AVPersonal\AVSched32.EXE
C:\WINNT\system32\internat.exe
C:\Archivos de programa\Archivos comunes\services.exe
C:\Archivos de programa\Hewlett-Packard\LaserJet All-in-one\hppdirector.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\Microsoft Office\Office\3082\msoffice.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Archivos comunes\services.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\Documents and Settings\Cochasa\sex.exe
C:\Archivos de programa\Archivos comunes\services.exe
C:\Archivos de programa\Archivos comunes\services.exe
C:\Archivos de programa\Archivos comunes\services.exe
C:\Archivos de programa\Archivos comunes\services.exe
C:\Archivos de programa\Archivos comunes\services.exe
C:\Archivos de programa\Archivos comunes\services.exe
C:\WINNT\system32\cmd.exe
C:\Archivos de programa\Archivos comunes\services.exe
C:\WINNT\explorer.exe
c:\winnt\system32\ffxdnv.exe
C:\Archivos de programa\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O1 - Hosts: 216.143.132.50 cajamadrid.es
O1 - Hosts: 216.143.132.50 www.cajamadrid.es
O1 - Hosts: 216.143.132.50 postbank.nl
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem220.dll
O2 - BHO: Shorty - {11A4CA8C-A8B9-49c2-A6D3-3F64C9EEBAE6} - C:\Archivos de programa\DNS\Catcher.dll
O2 - BHO: VBRunDLL Class - {197B8CA4-E215-46DD-8F33-E0544A80E5C4} - C:\WINNT\system32\richedtr.dll
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\archivos de programa\180searchassistant\sachook.dll
O2 - BHO: inExplorer Search - {4E7BD74F-2B8D-469E-8AA5-A930F887B531} - C:\ARCHIV~1\INEXPL~1\INEXPL~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINNT\system32\nsp39.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: inExplorer Search - {4E7BD74F-2B8D-469E-8AA5-A930F887B531} - C:\ARCHIV~1\INEXPL~1\INEXPL~1.DLL
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HP SchedIndexer] C:\Archivos de programa\Hewlett-Packard\LaserJet All-in-one\hppschedindexer.exe
O4 - HKLM\..\Run: [HP AutoIndexer] C:\Archivos de programa\Hewlett-Packard\LaserJet All-in-one\hppautoindexer.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [AVSCHED32] C:\Archivos de programa\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Desktop Search] C:\WINNT\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINNT\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [Windows Service] C:\WINNT\system32\sex.exe
O4 - HKLM\..\Run: [richup] C:\WINNT\system32\richup.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [btdpbc] c:\winnt\system32\ffxdnv.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [Wopa] C:\Archivos de programa\raac\hmah.exe
O4 - HKCU\..\Run: [Windows Service] C:\WINNT\system32\sex.exe
O4 - HKCU\..\Run: [zimu] C:\ARCHIV~1\COMMON~1\zimu\zimum.exe
O4 - HKCU\..\Run: [DNS] C:\Archivos de programa\Archivos comunes\mc-58-12-0000093.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: HP LaserJet Director.lnk = C:\Archivos de programa\Hewlett-Packard\LaserJet All-in-one\hppdirector.exe
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Archivos de programa\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\ARCHIV~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\ARCHIV~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\tmproxy.exe

Hola!!!

Todavia hay mucho malware suelto por tu pc. Lo primero que debes hacer es desinstalar o desactivar uno de los antivirus que tienes y dejar activo sólo uno, ya que si usas dos a la vez entran en conflicto.

Deberás hacer los pasos seguidos (de una vez), asi que debes dedicarle un tiempo a la limpieza de tu pc.

Sigue estos pasos:

1) Ver archivos ocultos

2) Pasa al menos 2 de estos Antivirus Online

3) Reinicia a prueba de fallos

4) Desde panel de control/agregar o quitar programas, desinstala si está:

raac
zimu
Internet Optimizer
Cochasa
DNS
180searchassistant
inExplorer Search --> este no estoy muy seguro de si es malware, pero desinstalalo por precaución. En cualquier caso aclaranos si lo instalaste tu o no.

5) Ejecuta HijackThis con todos los programas cerrados y dale fix a:

R3 - Default URLSearchHook is missing

O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem220.dll

O2 - BHO: Shorty - {11A4CA8C-A8B9-49c2-A6D3-3F64C9EEBAE6} - C:\Archivos de programa\DNS\Catcher.dll

O2 - BHO: VBRunDLL Class - {197B8CA4-E215-46DD-8F33-E0544A80E5C4} - C:\WINNT\system32\richedtr.dll

O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\archivos de programa\180searchassistant\sachook.dll

O2 - BHO: inExplorer Search - {4E7BD74F-2B8D-469E-8AA5-A930F887B531} - C:\ARCHIV~1\INEXPL~1\INEXPL~1.DLL

O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINNT\system32\nsp39.dll

O3 - Toolbar: inExplorer Search - {4E7BD74F-2B8D-469E-8AA5-A930F887B531} - C:\ARCHIV~1\INEXPL~1\INEXPL~1.DLL

O4 - HKLM\..\Run: [Desktop Search] C:\WINNT\isrvs\desktop.exe

O4 - HKLM\..\Run: [ffis] C:\WINNT\isrvs\ffisearch.exe

O4 - HKLM\..\Run: [Windows Service] C:\WINNT\system32\sex.exe

O4 - HKLM\..\Run: [richup] C:\WINNT\system32\richup.exe

O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"

O4 - HKLM\..\Run: [btdpbc] c:\winnt\system32\ffxdnv.exe

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - HKCU\..\Run: [Wopa] C:\Archivos de programa\raac\hmah.exe

O4 - HKCU\..\Run: [Windows Service] C:\WINNT\system32\sex.exe

O4 - HKCU\..\Run: [zimu] C:\ARCHIV~1\COMMON~1\zimu\zimum.exe

O4 - HKCU\..\Run: [DNS] C:\Archivos de programa\Archivos comunes\mc-58-12-0000093.exe

O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone

O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe

7) Busca y elimina estos archivos si los encuentras:

C:\Archivos de programa\Archivos comunes\services.exe --> CUIDADO!!! no elimines el de system32
C:\Archivos de programa\raac\hmah.exe
C:\ARCHIV~1\COMMON~1\zimu\zimum.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\Documents and Settings\Cochasa\sex.exe
c:\winnt\system32\ffxdnv.exe
C:\WINNT\nem220.dll
C:\Archivos de programa\DNS\Catcher.dll
C:\WINNT\system32\richedtr.dll
c:\archivos de programa\180searchassistant\sachook.dll
C:\ARCHIV~1\INEXPL~1\INEXPL~1.DLL
C:\WINNT\system32\nsp39.dll
C:\WINNT\isrvs\desktop.exe
C:\WINNT\isrvs\ffisearch.exe
C:\WINNT\system32\sex.exe
C:\WINNT\system32\richup.exe
C:\winstall.exe
C:\Archivos de programa\Archivos comunes\mc-58-12-0000093.exe
C:\WINNT\svcproc.exe

Para archivos que no se dejen eliminar usa KillBox

Busca y elimina estas carpetas con todo su contenido:

C:\Archivos de programa\raac\
C:\ARCHIV~1\COMMON~1\zimu\
C:\Program Files\Internet Optimizer\
C:\Documents and Settings\Cochasa\
C:\Archivos de programa\DNS\
c:\archivos de programa\180searchassistant\
C:\ARCHIV~1\INEXPL~1\
C:\WINNT\isrvs\

8) Limpia el registro con RegSeeker y pasa Ad-Aware actualizado. De RegSeeker deberás usar la opción "limpiar el registro" y pasarlo varias veces hasta que no te detecte nada.

9) Elimina cookies y temporales con Disk Cleaner y vacía la papelera.

10) Reinicia normal y nos cuentas los resultados.

Saludos

__________________

hola amigo jereque !!!!

De inmediato me dia a la tarea de aplicar los pasos que me has indicado para liberarme de estos malware. Gracias por los consejos y por tu paciencia que me has tenido. par no entrar en tanto rollo te envio mi log, no sin antes explicar una situacion, lo que pasa es que me indicas que borre una carpeta de cochasa y esa carpeta está llamada así por la red local a la que esta conecatad mi equipo, asi que no la he borrado, al repecto te pido que si existen archivos mailignos en ella me eindique cuales son para eliminales uno a uno.

Envio mi log

Logfile of HijackThis v1.99.1
Scan saved at 15:29:51, on 06/27/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\LXSUPMON.EXE
C:\Archivos de programa\AVPersonal\AVSched32.EXE
c:\winnt\system32\otzuxe.exe
C:\WINNT\system32\internat.exe
C:\Archivos de programa\Hewlett-Packard\LaserJet All-in-one\hppdirector.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\Microsoft Office\Office\3082\msoffice.exe
C:\WINNT\system32\cmd.exe
C:\Archivos de programa\Archivos comunes\services.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\raac\hmah.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\DOCUME~1\Cochasa\CONFIG~1\Temp\hlfnipmd.exe
C:\Archivos de programa\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O1 - Hosts: 216.143.132.50 cajamadrid.es
O1 - Hosts: 216.143.132.50 www.cajamadrid.es
O1 - Hosts: 216.143.132.50 postbank.nl
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem220.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINNT\isrvs\sysupd.dll
O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINNT\system32\nsz3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HP SchedIndexer] C:\Archivos de programa\Hewlett-Packard\LaserJet All-in-one\hppschedindexer.exe
O4 - HKLM\..\Run: [HP AutoIndexer] C:\Archivos de programa\Hewlett-Packard\LaserJet All-in-one\hppautoindexer.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [AVSCHED32] C:\Archivos de programa\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [kqgdvl] c:\winnt\system32\otzuxe.exe
O4 - HKLM\..\Run: [Desktop Search] C:\WINNT\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINNT\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [DNS] C:\Archivos de programa\Archivos comunes\mc-58-12-0000093.exe
O4 - HKCU\..\Run: [Wopa] C:\Archivos de programa\raac\hmah.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: HP LaserJet Director.lnk = C:\Archivos de programa\Hewlett-Packard\LaserJet All-in-one\hppdirector.exe
O15 - Trusted Zone: *.addictivetechnologies.com
O15 - Trusted Zone: *.addictivetechnologies.net
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.f1organizer.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.megapornix.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.topconverting.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.addictivetechnologies.com (HKLM)
O15 - Trusted Zone: *.addictivetechnologies.net (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.c4tdownload.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.f1organizer.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.media-motor.net (HKLM)
O15 - Trusted Zone: *.megapornix.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.overpro.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted Zone: *.topconverting.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab?refid=3548
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINNT\isrvs\mfiltis.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Archivos de programa\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

Saludos y hasta pronto

Hola!!!

Me parece extraño lo de la carpeta Cochasa, aunque si dices saber a que pertenece no la elimines. Mas raro me parece aún que dentro hubiera un archivo llamado sex.exe y ahora otro llamado hlfnipmd.exe En cualquier caso, para salir de dudas puedes analizar los archivos que tenga dentro en Virus Total , y asi salimos de dudas.

Por cierto, ¿conoces también el programa raac?. Te voy a dar tambien los pasos para eliminarlo, ya que me resulta muy sospechoso, pero si ocurre como con la carpeta anterior, no lo elimines y acláremelo.

En fin, que parece que el malware está rebelde

Sigue estos pasos:

1) Ver archivos ocultos

2) Pasa al menos 2 de estos Antivirus Online y usa TZ-Kill.inf para eliminar las entradas 015-Trusted.

3) Reinicia a prueba de fallos

4) Con el administrador de tareas (Ctrl+Alt+Supr) para estos procesos si se están ejecutando:

otzuxe.exe
hmah.exe
optimize.exe
desktop.exe
ffisearch.exe
mc-58-12-0000093.exe --> salvo que lo conozcas
winstall.exe
SpySheriff.exe

5) Desde panel de control/agregar o quitar programas desinstala si está:

raac --> salvo q lo hayas instalado tu
Internet Optimizer
SpySheriff

6) Ejecuta HijackThis con todos los programas cerrados y dale fix a:

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem220.dll

O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINNT\isrvs\sysupd.dll

O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINNT\system32\nsz3.dll

O4 - HKLM\..\Run: [kqgdvl] c:\winnt\system32\otzuxe.exe

O4 - HKLM\..\Run: [Desktop Search] C:\WINNT\isrvs\desktop.exe

O4 - HKLM\..\Run: [ffis] C:\WINNT\isrvs\ffisearch.exe

O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"

O4 - HKCU\..\Run: [DNS] C:\Archivos de programa\Archivos comunes\mc-58-12-0000093.exe

O4 - HKCU\..\Run: [Wopa] C:\Archivos de programa\raac\hmah.exe

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe

O15 - Trusted Zone: *.addictivetechnologies.com
O15 - Trusted Zone: *.addictivetechnologies.net
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.f1organizer.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.megapornix.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.topconverting.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.addictivetechnologies.com (HKLM)
O15 - Trusted Zone: *.addictivetechnologies.net (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.c4tdownload.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.f1organizer.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.media-motor.net (HKLM)
O15 - Trusted Zone: *.megapornix.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.overpro.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted Zone: *.topconverting.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)

O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINNT\isrvs\mfiltis.dll

7) Busca y elimina estos archivos y o carpetas con todo su contenido:

c:\winnt\system32\otzuxe.exe
C:\Archivos de programa\Archivos comunes\services.exe
C:\Archivos de programa\raac\ --> salvo que lo hayas instalado tu.
C:\Program Files\Internet Optimizer\
C:\WINNT\nem220.dll
C:\WINNT\isrvs\
C:\WINNT\system32\nsz3.dll
C:\Archivos de programa\Archivos comunes\mc-58-12-0000093.exe --> salvo que sepas a que pertenece.
C:\winstall.exe
C:\Program Files\SpySheriff\

Para archivos que no se dejen eliminar usa KillBox

8) Limpia el registro con RegSeeker y pasa Ad-Aware actualizado.

9) Elimina cookies y temporales con Disk Cleaner y vacía la papelera.

10) Reinicia normal y nos cuentas los resultados.

Saludos

__________________