Logfile of HijackThis v1.99.1
Scan saved at 13:16:26, on 14/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\SYSTEM32\rundll32.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\richard\Escritorio\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.elmundodeportivo.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - {02EE5B04-F144-47BB-83FB-A60BD91B74A9} - C:\Archivos de programa\SurfSideKick 3\SskBho.dll
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Archivos de programa\TheSearchAccelerator\UCMTSAIE.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P and now I post my Hijack log whining] C:\WINDOWS\system32\NBA Live 2006 crack.exe
O4 - HKLM\..\Run: [System service79] C:\WINDOWS\etb\pokapoka79.exe
O4 - HKLM\..\Run: [System service70] C:\WINDOWS\\\etb\\pokapoka70.exe
O4 - HKLM\..\Run: [defender] c:\\dfndrff_18.exe
O4 - HKLM\..\Run: [keyboard] c:\\kybrdff_18.exe
O4 - HKLM\..\Run: [fac519c9] RUNDLL32.EXE w01ac16b.dll,n 004519c50000000a01ac16b
O4 - HKLM\..\Run: [SurfSideKick 3] C:\Archivos de programa\SurfSideKick 3\Ssk.exe
O4 - HKLM\..\Run: [newname] c:\\nwnmff_18.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Error Safe] "C:\Archivos de programa\Error Safe Free\ERS.exe" /scan
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [P2kAutostart] C:\DOCUME~1\richard\CONFIG~1\Temp\Rar$EX00.426\P2k Autostart.exe
O4 - HKCU\..\Run: [kzko] C:\ARCHIV~1\ARCHIV~1\kzko\kzkom.exe
O4 - HKCU\..\Run: [SurfSideKick 3] C:\Archivos de programa\SurfSideKick 3\Ssk.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Consola KIT ADSL.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://morsosri.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D71BDC7-34C9-4FB7-8390-4EC0B9788211}: NameServer = 80.58.61.250 80.58.61.254
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: repairs303169590.dll
O20 - Winlogon Notify: IPConfTSP - C:\WINDOWS\system32\fn0021dmg.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Y2FzdWFsZQ\command.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Network Monitor - Unknown owner - C:\Archivos de programa\Network Monitor\netmon.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Gracias por vuestra ayuda

Hola, morsosri.

* Una preguntita... ¿tú pusiste como página de inico about:blank?

* Realiza estos pasos y recuerda dejarnos los reportes de los antivirus online:

1.- Descarga la herramienta DelPSGuard y ponla en tu escritorio, pero no la ejecutes aún.

2.- Deshabilita el Restaurar Sistema

3.- Activa la opción Ver Archivos Ocultos

4.- Reinicia en Modo a Prueba de Fallos

5.- Desinstala estos programas desde 'Agregar/Quitar programas':

SurfSideKick 3 (si tienes otros con el mismo nombre también)

TheSearchAccelerator

Error Safe Free

Network Monitor

* VirusBurst
* VirusBlast
* iCodecPack
* PCODEC
* Safety Bar
* SpyHeal
* Trust Cleaner
* SpywareQuake
* BraveSentry
* SpyFalcon
* SpywareStrike
* SpyAxe
* SmitFraud
* PSGuard
* SpySheriff
* AntiVirusGold or AV Gold
* Spy Trooper
* Adware Punisher
* Security IGuard
* Virtual Maid
* Search Maid
* World AntiSpy
* Alfacleaner
* WinHound
* Raze Spyware

6.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

R3 - URLSearchHook: (no name) - {02EE5B04-F144-47BB-83FB-A60BD91B74A9} - C:\Archivos de programa\SurfSideKick 3\SskBho.dll

O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Archivos de programa\TheSearchAccelerator\UCMTSAIE.dll (file missing)

O4 - HKLM\..\Run: [System service79] C:\WINDOWS\etb\pokapoka79.exe

O4 - HKLM\..\Run: [System service70] C:\WINDOWS\\\etb\\pokapoka70.exe

O4 - HKLM\..\Run: [defender] c:\\dfndrff_18.exe

O4 - HKLM\..\Run: [keyboard] c:\\kybrdff_18.exe

O4 - HKLM\..\Run: [fac519c9] RUNDLL32.EXE w01ac16b.dll,n 004519c50000000a01ac16b

O4 - HKLM\..\Run: [SurfSideKick 3] C:\Archivos de programa\SurfSideKick 3\Ssk.exe

O4 - HKLM\..\Run: [newname] c:\\nwnmff_18.exe

O4 - HKCU\..\Run: [Error Safe] "C:\Archivos de programa\Error Safe Free\ERS.exe" /scan

O4 - HKCU\..\Run: [P2kAutostart] C:\DOCUME~1\richard\CONFIG~1\Temp\Rar$EX00.426\P2k Autostart.exe

O4 - HKCU\..\Run: [kzko] C:\ARCHIV~1\ARCHIV~1\kzko\kzkom.exe

O4 - HKCU\..\Run: [SurfSideKick 3] C:\Archivos de programa\SurfSideKick 3\Ssk.exe

O20 - AppInit_DLLs: repairs303169590.dll

O20 - Winlogon Notify: IPConfTSP - C:\WINDOWS\system32\fn0021dmg.dll

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Y2FzdWFsZQ\command.exe (file missing)

O23 - Service: Network Monitor - Unknown owner - C:\Archivos de programa\Network Monitor\netmon.exe (file missing)

7.- Sin reiniciar, busca y elimina estos archivos, si no se dejan eliminar descarga el programa "Killbox" y sigue las indicaciones del mensaje, copia y pega los archivos para que los elimine al reiniciar.

C:\Archivos de programa\SurfSideKick 3\SskBho.dll ---> borra esta carpeta con todo su contenido

C:\Archivos de programa\TheSearchAccelerator\UCMTSAIE.dll ---> borra esta carpeta con todo su contenido

C:\WINDOWS\etb\pokapoka79.exe

C:\WINDOWS\\\etb\\pokapoka70.exe

c:\\dfndrff_18.exe

c:\\kybrdff_18.exe

w01ac16b.dll

c:\\nwnmff_18.exe

C:\Archivos de programa\Error Safe Free\ERS.exe ---> borra esta carpeta con todo su contenido

C:\DOCUME~1\richard\CONFIG~1\Temp\ ---> borra todo el contenido de esta carpeta, pero NO borres la carpeta

C:\ARCHIV~1\ARCHIV~1\kzko\kzkom.exe ---> borra esta carpeta con todo su contenido

repairs303169590.dll

C:\WINDOWS\system32\fn0021dmg.dll

C:\WINDOWS\Y2FzdWFsZQ\command.exe ---> borra esta carpeta con todo su contenido

C:\Archivos de programa\Network Monitor\netmon.exe ---> borra esta carpeta con todo su contenido

8.- Pasa estas herramientas:

- DelPSGuard

- Ad-Aware 1.06 SE Personal manual

- Disk Cleaner para limpiar cookis y temporales

- RegSeeker para limpiar el registro de Windows y su manual pásalo varias veces hasta que ya no te salga nada para eliminar.

9.- Reinicia el pc

- Instálate el SpywareBlaster 3.4 manual

10.- Pasa dos de estos antivirus online (ewido y kaspersky preferentemente) y nos comentas si te detectaron algo o no. Si hay algo que te detecten nos pegas el reporte que te generen.

11.- Comprueba los resultados y nos pegas un nuevo log para comprobar que quedó limpio.

De preferencia, imprime las indicaciones para que se te haga más fácil seguirlas.

Saludos
Reitxelle

Hola, sigue sin poder funcionar OK, te espongo los problemas que me han surgido y los nuevos reportes:

* Una preguntita... ¿tú pusiste como página de inico about:blank?

No tenia www.google.es

5.- Desinstala estos programas desde 'Agregar/Quitar programas':

No puedo desinstalar este programa

Network Monitor

7.- Sin reiniciar, busca y elimina estos archivos, si no se dejan eliminar descarga el programa "Killbox" y

sigue las indicaciones del mensaje, copia y pega los archivos para que los elimine al reiniciar.

C:\DOCUME~1\richard\CONFIG~1\Temp\ ---> borra todo el contenido de esta carpeta, pero NO borres la carpeta

No se puede borrar este archivo word: ~

Y dentro de las carpetas C:\Documents and Settings\richard\Configuración local\Temp\Archivos temporales de

Internet\Content.IE5, C:\Documents and Settings\richard\Configuración local\Temp\Cookies, C:\Documents and

Settings\richard\Configuración local\Temp\Historial\History.IE5 un archivo que sale en formato de video y se

llama index

8.- Pasa estas herramientas:

- RegSeeker para limpiar el registro de Windows y su manual pásalo varias veces hasta que ya no te salga nada

para eliminar.

Tras pasarlo varias veces me quedan 4 archivos que se llaman:

-HKEY_CLASSES_ROOT
ComPlusMetaDataCom.MSCorHost
Invalid ActiveX/COM entry (CLSID)

-HKEY_CLASSES_ROOT
ComPlusMetaDataCom.MSCorHost.2
Invalid ActiveX/COM entry (CLSID)

-HKEY_CLASSES_ROOT
Microsoft.IE.MAnager
Extension not used

-HKEY_CLASSES_ROOT
SymWriter.pbd
Invalid ActiveX/COM entry (CLSID)

9.- Reinicia el pc

- Instálate el SpywareBlaster 3.4 manual

10.- Pasa dos de estos antivirus online (ewido y kaspersky preferentemente) y nos comentas si te detectaron

algo o no. Si hay algo que te detecten nos pegas el reporte que te generen.

Estos son los reportes:

-ewido-

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Yieldmanager
Path: C:\Documents and Settings\richard\Cookies\richard@ad.yieldmanager[1].txt
Risk: Medium

Name: TrackingCookie.Admarketplace
Path: C:\Documents and Settings\richard\Cookies\richard@admarketplace[2].txt
Risk: Medium

Name: TrackingCookie.Casalemedia
Path: C:\Documents and Settings\richard\Cookies\richard@casalemedia[2].txt
Risk: Medium

Name: TrackingCookie.Cpvfeed
Path: C:\Documents and Settings\richard\Cookies\richard@cpvfeed[1].txt
Risk: Medium

Name: TrackingCookie.Kmpads
Path: C:\Documents and Settings\richard\Cookies\richard@kmpads[2].txt
Risk: Medium

Name: TrackingCookie.Revenue
Path: C:\Documents and Settings\richard\Cookies\richard@revenue[2].txt
Risk: Medium

Name: TrackingCookie.Statcounter
Path: C:\Documents and Settings\richard\Cookies\richard@statcounter[1].txt
Risk: Medium

Name: TrackingCookie.Reliablestats
Path: C:\Documents and Settings\richard\Cookies\richard@stats1.reliablest ats[2].txt
Risk: Medium

Name: TrackingCookie.Epilot
Path: C:\Documents and Settings\richard\Cookies\richard@www.epilot[1].txt
Risk: Medium

Name: Adware.SurfSide
Path: HKLM\SOFTWARE\SurfSideKick3
Risk: Medium

Name: Adware.SurfSide
Path: HKLM\SOFTWARE\SurfSideKick3\Internet Explorer
Risk: Medium

Name: Adware.WinAntiVirus
Path:

HKU\S-1-5-21-1757981266-688789844-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{2178F3FB

-2560-458F-BDEE-631E2FE0DFE4}
Risk: Medium

Name: Adware.SurfSide
Path: HKU\S-1-5-21-1757981266-688789844-1060284298-1004\Software\SurfSideKick3
Risk: Medium

Name: Adware.SurfSide
Path: HKU\S-1-5-21-1757981266-688789844-1060284298-1004\Software\SurfSideKick3\Internet Explorer
Risk: Medium

Name: Adware.Look2Me
Path: [1988] C:\WINDOWS\system32\sundmail.dll
Risk: Medium

Name: Adware.Look2Me
Path: [272] C:\WINDOWS\system32\sundmail.dll
Risk: Medium

Name: Hijacker.Agent.a
Path: C:\Documents and Settings\richard\Configuración local\Archivos temporales de

Internet\Content.IE5\86TSF595\popup[1].htm
Risk: High

Name: Not-A-Virus.Downloader.Win32.WinFixer.o
Path: C:\Documents and Settings\richard\Configuración local\Archivos temporales de

Internet\Content.IE5\86TSF595\WinAntiVirusPro2006F reeInstall_es[1].cab/UWA6PY_0001_N91M2107NetInstaller.exe
Risk: Low

Name: Hijacker.Agent.a
Path: C:\Documents and Settings\richard\Configuración local\Archivos temporales de

Internet\Content.IE5\KTK9FG5B\popup[1].htm
Risk: High

Name: Adware.AdURL
Path: C:\Documents and Settings\richard\Configuración local\Archivos temporales de

Internet\Content.IE5\VD6AM6T7\AppWrap[1].exe
Risk: Medium

Name: Hijacker.Agent.a
Path: C:\Documents and Settings\richard\Configuración local\Archivos temporales de

Internet\Content.IE5\VD6AM6T7\popup[1].htm
Risk: High

Name: Hijacker.Agent.a
Path: C:\Documents and Settings\richard\Configuración local\Archivos temporales de

Internet\Content.IE5\VD6AM6T7\popup[2].htm
Risk: High

Name: Not-A-Virus.Downloader.Win32.WinFixer.l
Path: C:\Documents and Settings\richard\Configuración local\Archivos temporales de

Internet\Content.IE5\VD6AM6T7\SystemDoctor2006Free Install_es[1].cab/USDR6Y_0001_D18M3107NetInstaller.exe
Risk: Low

Name: Adware.Zestyfind
Path: C:\Documents and Settings\richard\Configuración local\Archivos temporales de

Internet\Content.IE5\W97T8PSS\AppWrap[1].exe
Risk: Medium

Name: Hijacker.Agent.a
Path: C:\Documents and Settings\richard\Configuración local\Archivos temporales de

Internet\Content.IE5\W97T8PSS\popup[1].htm
Risk: High

Name: TrackingCookie.Cpvfeed
Path: C:\Documents and Settings\richard\Configuración local\Temp\Cookies\richard@cpvfeed[2].txt
Risk: Medium

Name: Adware.SurfSide
Path: C:\RECYCLER\S-1-5-21-1757981266-688789844-1060284298-1004\Dc35.dll
Risk: Medium

Name: TrackingCookie.Cpvfeed
Path: C:\RECYCLER\S-1-5-21-1757981266-688789844-1060284298-1004\Dc4.txt
Risk: Medium

Name: TrackingCookie.Mediaplex
Path: C:\RECYCLER\S-1-5-21-1757981266-688789844-1060284298-1004\Dc9.txt
Risk: Medium

Name: Not-A-Virus.Downloader.Win32.WinFixer.o
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UWA6PY_0001_N91M2107NetInstaller. exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.o
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.2\UWA6PY_0001_N91M2107NetInstaller. exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.o
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.3\UWA6PY_0001_N91M2107NetInstaller. exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.o
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.4\UWA6PY_0001_N91M2107NetInstaller. exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.o
Path: C:\WINDOWS\Downloaded Program Files\UWA6PY_0001_N91M2107NetInstaller.exe
Risk: Low

Name: Downloader.Agent.awb
Path: C:\WINDOWS\system32\fac519c9.dll
Risk: High

Name: Adware.Look2Me
Path: C:\WINDOWS\system32\itign32.dll
Risk: Medium

Name: Adware.Look2Me
Path: C:\WINDOWS\system32\kldbu.dll
Risk: Medium

Name: Adware.Look2Me
Path: C:\WINDOWS\system32\lv4609hse.dll
Risk: Medium

Name: Adware.Look2Me
Path: C:\WINDOWS\system32\ogbccu32.dll
Risk: Medium

Name: Adware.Look2Me
Path: C:\WINDOWS\system32\uqdmxfrm.dll
Risk: Medium

Name: Not-A-Virus.Downloader.Win32.WinFixer.o
Path: C:\WINDOWS\Temp\Archivos temporales de

Internet\Content.IE5\05YJ89YZ\WinAntiVirusPro2006F reeInstall_es[1].cab/UWA6PY_0001_N91M2107NetInstaller.exe
Risk: Low

Name: Adware.Zestyfind
Path: C:\WINDOWS\Temp\bw2.com
Risk: Medium

Name: TrackingCookie.Yieldmanager
Path: C:\WINDOWS\Temp\Cookies\richard@ad.yieldmanager[1].txt
Risk: Medium

Name: TrackingCookie.Advertising
Path: C:\WINDOWS\Temp\Cookies\richard@advertising[2].txt
Risk: Medium

Name: TrackingCookie.Atdmt
Path: C:\WINDOWS\Temp\Cookies\richard@atdmt[1].txt
Risk: Medium

Name: TrackingCookie.Clubdicecasino
Path: C:\WINDOWS\Temp\Cookies\richard@banner.clubdicecas ino[2].txt
Risk: Medium

Name: TrackingCookie.Clubdicecasino
Path: C:\WINDOWS\Temp\Cookies\richard@clubdicecasino[1].txt
Risk: Medium

Name: TrackingCookie.Cpvfeed
Path: C:\WINDOWS\Temp\Cookies\richard@cpvfeed[2].txt
Risk: Medium

Name: TrackingCookie.Doubleclick
Path: C:\WINDOWS\Temp\Cookies\richard@doubleclick[2].txt
Risk: Medium

Name: TrackingCookie.Kmpads
Path: C:\WINDOWS\Temp\Cookies\richard@kmpads[2].txt
Risk: Medium

Name: TrackingCookie.Mediaplex
Path: C:\WINDOWS\Temp\Cookies\richard@mediaplex[1].txt
Risk: Medium

Name: TrackingCookie.2o7
Path: C:\WINDOWS\Temp\Cookies\richard@metacafe.122.2o7[1].txt
Risk: Medium

Name: TrackingCookie.2o7
Path: C:\WINDOWS\Temp\Cookies\richard@partygaming.122.2o 7[1].txt
Risk: Medium

Name: TrackingCookie.Reliablestats
Path: C:\WINDOWS\Temp\Cookies\richard@stats1.reliablesta ts[1].txt
Risk: Medium

Name: TrackingCookie.Tradedoubler
Path: C:\WINDOWS\Temp\Cookies\richard@tradedoubler[1].txt
Risk: Medium

Name: Not-A-Virus.Downloader.Win32.WinFixer.o
Path: C:\WINDOWS\Temp\ICD1.tmp\UWA6PY_0001_N91M2107NetIn staller.exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.o
Path: C:\WINDOWS\Temp\ICD2.tmp\UWA6PY_0001_N91M2107NetIn staller.exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.o
Path: C:\WINDOWS\Temp\ICD3.tmp\UWA6PY_0001_N91M2107NetIn staller.exe
Risk: Low

Name: Trojan.Fakealert
Path: C:\WINDOWS\Temp\NI.UWA6PY_0001_N91M2107\setup.exe
Risk: High

-kaspersky-

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
viernes, 15 de septiembre de 2006 13:07:54
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 15/09/2006
Kaspersky Anti-Virus database records: 210459
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\

Scan Statistics:
Total number of scanned objects: 66497
Number of viruses found: 10
Number of infected objects: 23 / 0
Number of suspicious objects: 0
Duration of the scan process: 01:15:29

Infected Object Name / Virus Name / Last Action
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is

locked skipped
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is

locked skipped
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de

Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat

Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG

Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is

locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat

Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de

programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\richard\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat

Object is locked skipped
C:\Documents and Settings\richard\Configuración local\Archivos temporales de

Internet\Content.IE5\KTK9FG5B\popup[1].htm Infected: Trojan-Clicker.HTML.Agent.a skipped
C:\Documents and Settings\richard\Configuración local\Archivos temporales de

Internet\Content.IE5\VD6AM6T7\popup[1].htm Infected: Trojan-Clicker.HTML.Agent.a skipped
C:\Documents and Settings\richard\Configuración local\Archivos temporales de

Internet\Content.IE5\VD6AM6T7\popup[2].htm Infected: Trojan-Clicker.HTML.Agent.a skipped
C:\Documents and Settings\richard\Configuración local\Archivos temporales de

Internet\Content.IE5\W97T8PSS\popup[1].htm Infected: Trojan-Clicker.HTML.Agent.a skipped
C:\Documents and Settings\richard\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object

is locked skipped
C:\Documents and Settings\richard\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG

Object is locked skipped
C:\Documents and Settings\richard\Configuración local\Historial\History.IE5\index.dat Object is locked

skipped
C:\Documents and Settings\richard\Configuración local\Temp\Archivos temporales de

Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\richard\Configuración local\Temp\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\richard\Configuración local\Temp\Historial\History.IE5\index.dat Object is

locked skipped
C:\Documents and Settings\richard\Configuración

local\Temp\Historial\History.IE5\MSHist01200609152 0060916\index.dat Object is locked skipped
C:\Documents and Settings\richard\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\richard\Datos de

programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \java.jar-560f2184-64537b5d.zip/GetAccess.class

Infected: Trojan-Downloader.Java.OpenConnection.aj skipped
C:\Documents and Settings\richard\Datos de

programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \java.jar-560f2184-64537b5d.zip/Installer.class

Infected: Trojan-Downloader.Java.OpenConnection.aj skipped
C:\Documents and Settings\richard\Datos de

programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \java.jar-560f2184-64537b5d.zip ZIP: infected - 2

skipped
C:\Documents and Settings\richard\Datos de

programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \load53.jar-527850a6-22bd642b.zip/Matrix.class

Infected: Trojan-Downloader.Java.OpenStream.c skipped
C:\Documents and Settings\richard\Datos de

programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \load53.jar-527850a6-22bd642b.zip/Counter.class

Infected: Trojan.Java.ClassLoader.h skipped
C:\Documents and Settings\richard\Datos de

programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \load53.jar-527850a6-22bd642b.zip/Parser.class

Infected: Trojan.Java.ClassLoader.d skipped
C:\Documents and Settings\richard\Datos de

programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \load53.jar-527850a6-22bd642b.zip ZIP: infected - 3

skipped
C:\Documents and Settings\richard\ntuser.dat Object is locked skipped
C:\Documents and Settings\richard\ntuser.dat.LOG Object is locked skipped
C:\My Shared Folder\NBA Live 2006 cracked.exe/irsetup.dat Infected: P2P-Worm.Win32.Insta.a skipped
C:\My Shared Folder\NBA Live 2006 cracked.exe/wudupdate.exe Infected: Trojan-Downloader.Win32.IstBar.lq

skipped
C:\My Shared Folder\NBA Live 2006 cracked.exe/wuauclt10.exe Infected: Trojan-Dropper.Win32.Pakes skipped
C:\My Shared Folder\NBA Live 2006 cracked.exe SetupFactory: infected - 3 skipped
C:\My Shared Folder\US NBA Live 2006 crack.exe/irsetup.dat Infected: P2P-Worm.Win32.Insta.a skipped
C:\My Shared Folder\US NBA Live 2006 crack.exe/wudupdate.exe Infected: Trojan-Downloader.Win32.IstBar.lq

skipped
C:\My Shared Folder\US NBA Live 2006 crack.exe/wuauclt10.exe Infected: Trojan-Dropper.Win32.Pakes skipped
C:\My Shared Folder\US NBA Live 2006 crack.exe SetupFactory: infected - 3 skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\EventCache\{97011F 59-7BFE-4705-9382-A9A4D3361E50}.bin Object is locked

skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\drivers\atapi.sys Object is locked skipped
C:\WINDOWS\system32\e002lado1d0c.dll Object is locked skipped
C:\WINDOWS\system32\fac519c9.dll Infected: Trojan-Downloader.Win32.Agent.awb skipped
C:\WINDOWS\system32\gp2ml3f11.dll Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\sundmail.dll Object is locked skipped
C:\WINDOWS\system32\tt87.exe/data0002 Infected: Trojan.Win32.VB.wh skipped
C:\WINDOWS\system32\tt87.exe/data0004 Infected: Trojan.Win32.VB.wh skipped
C:\WINDOWS\system32\tt87.exe NSIS: infected - 2 skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\Temp\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\WINDOWS\Temp\Cookies\index.dat Object is locked skipped
C:\WINDOWS\Temp\Historial\History.IE5\index.dat Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped

Scan process completed.

11.- Comprueba los resultados y nos pegas un nuevo log para comprobar que quedó limpio.

Logfile of HijackThis v1.99.1
Scan saved at 12:40:52, on 15/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\SYSTEM32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\richard\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe

Gamma Loader.exe
O4 - Global Startup: Consola KIT ADSL.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de

programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de

programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de

programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de

programa\Messenger\MSMSGS.EXE
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -

http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) -

http://download.ewido.net/ewidoOnlineScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D71BDC7-34C9-4FB7-8390-4EC0B9788211}: NameServer = 80.58.61.250

80.58.61.254
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file

missing)
O20 - Winlogon Notify: NetCache - C:\WINDOWS\system32\e002lado1d0c.dll
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security

suite\ewidoctrl.exe
O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de

programa\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Saludos,

morsosri

Muchas Gracias por tu atención
Reitxelle

Hola, morsosri.

* Si hay algunas cosas que no puedes borrar no importa. Sobre los index que me dijiste, éstos nunca se podrán borrar No son archivos malos, son los que usa el sistema para que (por ejemplo, en el caso de las cookies) poder almacenarlas donde está el index de éstas.

* Parece que con los pasos anteriores, ya no te aparece about:blank de página de inicio .

* Ahora, realiza estos pasos y nos vuelves a dejar los reportes de los antivirus online:

1.- Deshabilita el Restaurar Sistema

2.- Activa la opción Ver Archivos Ocultos

3.- Reinicia en Modo a Prueba de Fallos

4.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

O20 - Winlogon Notify: NetCache - C:\WINDOWS\system32\e002lado1d0c.dll

5.- Sin reiniciar, busca y elimina estos archivos, si no se dejan eliminar descarga el programa "Killbox" y sigue las indicaciones del mensaje, copia y pega los archivos para que los elimine al reiniciar.

C:\Documents and Settings\richard\Cookies\ ---> borra todo el contenido de esta carpeta, pero NO borres la carpeta NI el archivo index

[1988] C:\WINDOWS\system32\sundmail.dll

[272] C:\WINDOWS\system32\sundmail.dll

C:\Documents and Settings\richard\Configuración local\Archivos temporales de Internet\Content.IE5\ ---> borra todo el contenido de esta carpeta, pero NO borres la carpeta NI el archivo index

C:\Documents and Settings\richard\Configuración local\Temp\Cookies\ ---> borra todo el contenido de esta carpeta, pero NO borres la carpeta NI el archivo index

C:\RECYCLER\ ---> borra todo el contenido de esta carpeta, pero NO borres la carpeta

C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UWA6PY_0001_N91M2107NetInstaller. exe

C:\WINDOWS\Downloaded Program Files\CONFLICT.2\UWA6PY_0001_N91M2107NetInstaller. exe

C:\WINDOWS\Downloaded Program Files\CONFLICT.3\UWA6PY_0001_N91M2107NetInstaller. exe

C:\WINDOWS\Downloaded Program Files\CONFLICT.4\UWA6PY_0001_N91M2107NetInstaller. exe

C:\WINDOWS\Downloaded Program Files\UWA6PY_0001_N91M2107NetInstaller.exe

C:\WINDOWS\system32\fac519c9.dll

C:\WINDOWS\system32\itign32.dll

C:\WINDOWS\system32\kldbu.dll

C:\WINDOWS\system32\lv4609hse.dll

C:\WINDOWS\system32\ogbccu32.dll

C:\WINDOWS\system32\uqdmxfrm.dll

C:\WINDOWS\Temp\bw2.com

C:\WINDOWS\Temp\Cookies\ ---> borra todo el contenido de esta carpeta, pero NO borres la carpeta NI el archivo index

C:\WINDOWS\Temp\ICD1.tmp\UWA6PY_0001_N91M2107NetIn staller.exe

C:\WINDOWS\Temp\ICD2.tmp\UWA6PY_0001_N91M2107NetIn staller.exe

C:\WINDOWS\Temp\ICD3.tmp\UWA6PY_0001_N91M2107NetIn staller.exe

C:\WINDOWS\Temp\NI.UWA6PY_0001_N91M2107\setup.exe

C:\My Shared Folder\NBA Live 2006 cracked.exe ---> borra esta carpeta con todo su contenido

C:\My Shared Folder\US NBA Live 2006 crack.exe ---> borra esta carpeta con todo su contenido

C:\WINDOWS\system32\tt87.exe

C:\WINDOWS\system32\e002lado1d0c.dll

6.- Ve a 'Inicio' - 'Ejecutar' - escribe: regedit - 'Aceptar' - busca y elimina las siguientes entradas:

HKEY_LOCAL_MACHINE\SOFTWARE\SurfSideKick3

HKEY_USERS\S-1-5-21-1757981266-688789844-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{2178F3FB-2560-458F-BDEE-631E2FE0DFE4}

HKEY_USERS\S-1-5-21-1757981266-688789844-1060284298-1004\Software\SurfSideKick3

7.- Realiza estos pasos para eliminar el virus del Java

8.- Pasa estas herramientas:

- Ad-Aware 1.06 SE Personal manual

- Disk Cleaner para limpiar cookies y temporales

- RegSeeker para limpiar el registro de Windows y su manual pásalo varias veces hasta que ya no te salga nada para eliminar.

9.- Reinicia el pc

10.- Pasa dos de estos antivirus online (ewido y kaspersky preferentemente) y nos comentas si te detectaron algo o no. Si hay algo que te detecten nos pegas el reporte que te generen.

11.- Comprueba los resultados y nos pegas un nuevo log para comprobar que quedó limpio.

De preferencia, imprime las indicaciones para que se te haga más fácil seguirlas.

Saludos
Reitxelle

Me parece que casi lo tenemos pero aún falta algo...

Te pego lo que me ha ocurrido:

Estos son los pasos que no se puede acabar de resolver creo...

5.- Sin reiniciar, busca y elimina estos archivos, si no se dejan eliminar descarga el programa "Killbox" y sigue las indicaciones del mensaje, copia y pega los archivos para que los elimine al reiniciar.

C:\RECYCLER\ ---> borra todo el contenido de esta carpeta, pero NO borres la carpeta

C:\WINDOWS\system32\e002lado1d0c.dll

No me aparecen

6.- Ve a 'Inicio' - 'Ejecutar' - escribe: regedit - 'Aceptar' - busca y elimina las siguientes entradas:

HKEY_LOCAL_MACHINE\SOFTWARE\SurfSideKick3

HKEY_USERS\S-1-5-21-1757981266-688789844-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{2178F3FB-2560-458F-BDEE-631E2FE0DFE4}

HKEY_USERS\S-1-5-21-1757981266-688789844-1060284298-1004\Software\SurfSideKick3

No me aparecen

10.- Pasa dos de estos antivirus online (ewido y kaspersky preferentemente) y nos comentas si te detectaron algo o no. Si hay algo que te detecten nos pegas el reporte que te generen.

-ewido-

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: Adware.Look2Me
Path: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Installer
Risk: Medium

Name: Adware.Look2Me
Path: [1720] C:\WINDOWS\system32\HAZc3212.dll
Risk: Medium

Name: Adware.Look2Me
Path: [1856] C:\WINDOWS\system32\HAZc3212.dll
Risk: Medium

Name: Not-A-Virus.Downloader.Win32.WinFixer.o
Path: C:\Documents and Settings\richard\Configuración local\Archivos temporales de Internet\Content.IE5\86TSF595\WinAntiVirusPro2006F reeInstall_es[1].cab/UWA6PY_0001_N91M2107NetInstaller.exe
Risk: Low

Name: Hijacker.Agent.a
Path: C:\Documents and Settings\richard\Configuración local\Archivos temporales de Internet\Content.IE5\KTK9FG5B\popup[1].htm
Risk: High

Name: Adware.AdURL
Path: C:\Documents and Settings\richard\Configuración local\Archivos temporales de Internet\Content.IE5\VD6AM6T7\AppWrap[1].exe
Risk: Medium

Name: Hijacker.Agent.a
Path: C:\Documents and Settings\richard\Configuración local\Archivos temporales de Internet\Content.IE5\VD6AM6T7\popup[1].htm
Risk: High

Name: Hijacker.Agent.a
Path: C:\Documents and Settings\richard\Configuración local\Archivos temporales de Internet\Content.IE5\VD6AM6T7\popup[2].htm
Risk: High

Name: Not-A-Virus.Downloader.Win32.WinFixer.l
Path: C:\Documents and Settings\richard\Configuración local\Archivos temporales de Internet\Content.IE5\VD6AM6T7\SystemDoctor2006Free Install_es[1].cab/USDR6Y_0001_D18M3107NetInstaller.exe
Risk: Low

Name: Adware.Zestyfind
Path: C:\Documents and Settings\richard\Configuración local\Archivos temporales de Internet\Content.IE5\W97T8PSS\AppWrap[1].exe
Risk: Medium

Name: Hijacker.Agent.a
Path: C:\Documents and Settings\richard\Configuración local\Archivos temporales de Internet\Content.IE5\W97T8PSS\popup[1].htm
Risk: High

Name: TrackingCookie.Cpvfeed
Path: C:\Documents and Settings\richard\Configuración local\Temp\Cookies\richard@cpvfeed[2].txt
Risk: Medium

Name: TrackingCookie.Mediaplex
Path: C:\Documents and Settings\richard\Configuración local\Temp\Cookies\richard@mediaplex[1].txt
Risk: Medium

Name: Not-A-Virus.Downloader.Win32.WinFixer.o
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UWA6PY_0001_N91M2107NetInstaller. exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.o
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.2\UWA6PY_0001_N91M2107NetInstaller. exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.o
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.3\UWA6PY_0001_N91M2107NetInstaller. exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.o
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.4\UWA6PY_0001_N91M2107NetInstaller. exe
Risk: Low

Name: Dialer.VB.j
Path: C:\WINDOWS\Downloaded Program Files\int_ver34.ocx
Risk: High

Name: Not-A-Virus.Downloader.Win32.WinFixer.o
Path: C:\WINDOWS\Downloaded Program Files\UWA6PY_0001_N91M2107NetInstaller.exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.o
Path: C:\WINDOWS\Temp\Archivos temporales de Internet\Content.IE5\05YJ89YZ\WinAntiVirusPro2006F reeInstall_es[1].cab/UWA6PY_0001_N91M2107NetInstaller.exe
Risk: Low

Name: Dialer.VB.j
Path: C:\WINDOWS\Temp\Archivos temporales de Internet\Content.IE5\S0SOLC4H\int_ver34[1].CAB/int_ver34.ocx
Risk: High

Name: Not-A-Virus.Exploit.HTML.CodeBaseExec
Path: C:\WINDOWS\Temp\Archivos temporales de Internet\Content.IE5\S0SOLC4H\send_ocx_sof[1].htm
Risk: Low

Name: TrackingCookie.Yieldmanager
Path: C:\WINDOWS\Temp\Cookies\richard@ad.yieldmanager[1].txt
Risk: Medium

Name: TrackingCookie.Cpvfeed
Path: C:\WINDOWS\Temp\Cookies\richard@cpvfeed[2].txt
Risk: Medium

Name: TrackingCookie.Doubleclick
Path: C:\WINDOWS\Temp\Cookies\richard@doubleclick[1].txt
Risk: Medium

Name: TrackingCookie.Mediaplex
Path: C:\WINDOWS\Temp\Cookies\richard@mediaplex[1].txt
Risk: Medium


-kaspersky-

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
viernes, 15 de septiembre de 2006 17:48:13
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 15/09/2006
Kaspersky Anti-Virus database records: 210519
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\

Scan Statistics:
Total number of scanned objects: 66481
Number of viruses found: 5
Number of infected objects: 11 / 0
Number of suspicious objects: 0
Duration of the scan process: 01:42:32

Infected Object Name / Virus Name / Last Action
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\richard\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\richard\Configuración local\Archivos temporales de Internet\Content.IE5\KTK9FG5B\popup[1].htm Infected: Trojan-Clicker.HTML.Agent.a skipped
C:\Documents and Settings\richard\Configuración local\Archivos temporales de Internet\Content.IE5\VD6AM6T7\popup[1].htm Infected: Trojan-Clicker.HTML.Agent.a skipped
C:\Documents and Settings\richard\Configuración local\Archivos temporales de Internet\Content.IE5\VD6AM6T7\popup[2].htm Infected: Trojan-Clicker.HTML.Agent.a skipped
C:\Documents and Settings\richard\Configuración local\Archivos temporales de Internet\Content.IE5\W97T8PSS\popup[1].htm Infected: Trojan-Clicker.HTML.Agent.a skipped
C:\Documents and Settings\richard\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\richard\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\richard\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\richard\Configuración local\Temp\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\richard\Configuración local\Temp\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\richard\Configuración local\Temp\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\richard\Configuración local\Temp\Historial\History.IE5\MSHist01200609152 0060916\index.dat Object is locked skipped
C:\Documents and Settings\richard\Configuración local\Temp\Perflib_Perfdata_b1c.dat Object is locked skipped
C:\Documents and Settings\richard\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\richard\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \java.jar-560f2184-64537b5d.zip/GetAccess.class Infected: Trojan-Downloader.Java.OpenConnection.aj skipped
C:\Documents and Settings\richard\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \java.jar-560f2184-64537b5d.zip/Installer.class Infected: Trojan-Downloader.Java.OpenConnection.aj skipped
C:\Documents and Settings\richard\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \java.jar-560f2184-64537b5d.zip ZIP: infected - 2 skipped
C:\Documents and Settings\richard\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \load53.jar-527850a6-22bd642b.zip/Matrix.class Infected: Trojan-Downloader.Java.OpenStream.c skipped
C:\Documents and Settings\richard\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \load53.jar-527850a6-22bd642b.zip/Counter.class Infected: Trojan.Java.ClassLoader.h skipped
C:\Documents and Settings\richard\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \load53.jar-527850a6-22bd642b.zip/Parser.class Infected: Trojan.Java.ClassLoader.d skipped
C:\Documents and Settings\richard\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \load53.jar-527850a6-22bd642b.zip ZIP: infected - 3 skipped
C:\Documents and Settings\richard\ntuser.dat Object is locked skipped
C:\Documents and Settings\richard\ntuser.dat.LOG Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\EventCache\{DB3074 63-D91A-433F-A507-3889BCEEE4A9}.bin Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\drivers\atapi.sys Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\HAZc3212.dll Object is locked skipped
C:\WINDOWS\system32\jtj0071me.dll Object is locked skipped
C:\WINDOWS\system32\n08olal31dq.dll Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\Temp\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\WINDOWS\Temp\Cookies\index.dat Object is locked skipped
C:\WINDOWS\Temp\Historial\History.IE5\index.dat Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped

Scan process completed.


11.- Comprueba los resultados y nos pegas un nuevo log para comprobar que quedó limpio.

Logfile of HijackThis v1.99.1
Scan saved at 16:54:49, on 15/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\SYSTEM32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\richard\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Consola KIT ADSL.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {A1426AC5-8CE5-4A00-B71E-011D35709AC6} (Progetto1.int_ver34) - http://advnt01.com/dialer/int_ver34.CAB
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\jtj0071me.dll
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe


Saludos
morsosri

Muchas gracias y perdona por ser tan pesado,

Hola, morsosri.

Realiza estos pasos y recuerda dejarnos los reportes de los antivirus online:

1.- Deshabilita el Restaurar Sistema

2.- Activa la opción Ver Archivos Ocultos

3.- Reinicia en Modo a Prueba de Fallos

4.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

O16 - DPF: {A1426AC5-8CE5-4A00-B71E-011D35709AC6} (Progetto1.int_ver34) - http://advnt01.com/dialer/int_ver34.CAB

O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\jtj0071me.dll

5.- Sin reiniciar, busca y elimina estos archivos, si no se dejan eliminar descarga el programa "Killbox" y sigue las indicaciones del mensaje, copia y pega los archivos para que los elimine al reiniciar.

[1720] C:\WINDOWS\system32\HAZc3212.dll

[1856] C:\WINDOWS\system32\HAZc3212.dll

C:\Documents and Settings\richard\Configuración local\Archivos temporales de Internet\Content.IE5\ ---> borra todo el contenido de esta carpeta, pero NO borres la carpeta

C:\Documents and Settings\richard\Configuración local\Temp\Cookies\ ---> borra todo el contenido de esta carpeta, pero NO borres la carpeta

C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UWA6PY_0001_N91M2107NetInstaller. exe

C:\WINDOWS\Downloaded Program Files\CONFLICT.2\UWA6PY_0001_N91M2107NetInstaller. exe

C:\WINDOWS\Downloaded Program Files\CONFLICT.3\UWA6PY_0001_N91M2107NetInstaller. exe

C:\WINDOWS\Downloaded Program Files\CONFLICT.4\UWA6PY_0001_N91M2107NetInstaller. exe

C:\WINDOWS\Downloaded Program Files\int_ver34.ocx

C:\WINDOWS\Downloaded Program Files\UWA6PY_0001_N91M2107NetInstaller.exe

C:\WINDOWS\Temp\Archivos temporales de Internet\Content.IE5\ ---> borra todo el contenido de esta carpeta, pero NO borres la carpeta

C:\WINDOWS\Temp\Cookies\ ---> borra todo el contenido de esta carpeta, pero NO borres la carpeta

C:\WINDOWS\system32\jtj0071me.dll

6.- Ve a 'Inicio' - 'Ejecutar' - escribe: regedit - 'Aceptar' - busca y elimina la siguiente entrada:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Installer

7.- Pasa estas herramientas:

- SpyBot S&D manual

- Ad-Aware 1.06 SE Personal manual

- Disk Cleaner para limpiar cookies y temporales

- RegSeeker para limpiar el registro de Windows y su manual pásalo varias veces hasta que ya no te salga nada para eliminar.

8.- Reinicia el pc

9.- Pasa dos de estos antivirus online (ewido y kaspersky preferentemente) y nos comentas si te detectaron algo o no. Si hay algo que te detecten nos pegas el reporte que te generen.

10.- Comprueba los resultados y nos pegas un nuevo log para comprobar que quedó limpio.

De preferencia, imprime las indicaciones para que se te haga más fácil seguirlas.

Saludos
Reitxelle

4.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

No consigo que se vaya este registro:

O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\archivo.dll

Lo elimino con el killbox y cada vez sale uno diferente

6.- Ve a 'Inicio' - 'Ejecutar' - escribe: regedit - 'Aceptar' - busca y elimina la siguiente entrada:

No me aparece este registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Installer

9.- Pasa dos de estos antivirus online (ewido y kaspersky preferentemente) y nos comentas si te detectaron algo o no. Si hay algo que te detecten nos pegas el reporte que te generen.

-ewido-

---------------------------------------------------------
ewido anti-malware - Report de exploración
---------------------------------------------------------

+ Creado en: 15:08:52, 16/09/2006
+ Report-Checksum: 61536476

+ Scan result:

[1848] C:\WINDOWS\system32\dimstor.dll -> Adware.Look2Me : Error durante limpieza
[2764] C:\WINDOWS\system32\guard.tmp -> Adware.Look2Me : Error durante limpieza
C:\Documents and Settings\richard\Configuración local\Temp\Cookies\richard@cpvfeed[2].txt -> TrackingCookie.Cpvfeed : Limpio con backup
C:\Documents and Settings\richard\Configuración local\Temp\Cookies\richard@doubleclick[1].txt -> TrackingCookie.Doubleclick : Limpio con backup
C:\Documents and Settings\richard\Configuración local\Temp\Cookies\richard@mediaplex[1].txt -> TrackingCookie.Mediaplex : Limpio con backup
C:\WINDOWS\Downloaded Program Files\__delete_on_reboot__int_ver34.ocx -> Dialer.VB.j : Limpio con backup
C:\WINDOWS\Downloaded Program Files\__delete_on_reboot__USDR6Y_0001_D18M3107NetI nstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.l : Limpio con backup
C:\WINDOWS\system32\__delete_on_reboot__guard.tmp -> Adware.Look2Me : Limpio con backup
C:\WINDOWS\Temp\Cookies\richard@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Limpio con backup
C:\WINDOWS\Temp\Cookies\richard@cpvfeed[2].txt -> TrackingCookie.Cpvfeed : Limpio con backup
C:\WINDOWS\Temp\Cookies\richard@doubleclick[1].txt -> TrackingCookie.Doubleclick : Limpio con backup
C:\WINDOWS\Temp\Cookies\richard@mediaplex[1].txt -> TrackingCookie.Mediaplex : Limpio con backup


::Fin Report

10.- Comprueba los resultados y nos pegas un nuevo log para comprobar que quedó limpio.

Logfile of HijackThis v1.99.1
Scan saved at 15:09:42, on 16/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\SYSTEM32\rundll32.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\Documents and Settings\richard\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Consola KIT ADSL.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.downloadcontrol.com/files/installers/cab/SystemDoctor2006FreeInstall_es.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {A1426AC5-8CE5-4A00-B71E-011D35709AC6} (Progetto1.int_ver34) - http://advnt01.com/dialer/int_ver34.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D71BDC7-34C9-4FB7-8390-4EC0B9788211}: NameServer = 80.58.61.250 80.58.61.254
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Nls - C:\WINDOWS\system32\g022lafo1d2c.dll
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe



La verdad creo que el problema esta en el winlogon cada vez aparece uno nuevo y no encuentro el registro para eliminarlo, no aparece en el directorio.

Saludos
morsosri

Hola, morsosri.

Bueno... vamos a agregar una herramienta y otro antivirus a los pasos

¿El Kaspersky no te detectó nada?

Realiza estos pasos y recuerda dejarnos los reportes de los antivirus online:

1.- Deshabilita el Restaurar Sistema

2.- Activa la opción Ver Archivos Ocultos

3.- Reinicia en Modo a Prueba de Fallos

4.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.downloadcontrol.com/files/installers/cab/SystemDoctor2006FreeInstall_ es.cab

O16 - DPF: {A1426AC5-8CE5-4A00-B71E-011D35709AC6} (Progetto1.int_ver34) - http://advnt01.com/dialer/int_ver34.CAB

O20 - Winlogon Notify: Nls - C:\WINDOWS\system32\g022lafo1d2c.dll

5.- Sin reiniciar, busca y elimina estos archivos, si no se dejan eliminar descarga el programa "Killbox" y sigue las indicaciones del mensaje, copia y pega los archivos para que los elimine al reiniciar.

[1848] C:\WINDOWS\system32\dimsto