Hola Gente

Creo que todo se debe al “PSGuard” , he hecho todo lo que se indica en el foro pero no consigo librarme de la infección.

Les pego los siguientes reportes y mi log, no se que más hacer:

Ad-Aware encuentra “Win32.Trojan.Agent”

Spybot encuentra
Vcodec: Objeto ayudante del navegador (Clave del registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{e0103cd4-d1ce-411a-b75b-4fec072867f4}

Microsoft.WindowsSecurityCenter.FirewallDisableNot ify: Configuración (Cambio en el registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify!=dword:0

Microsoft.WindowsSecurityCenter.UpdateDisableNotif y: Configuración (Cambio en el registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify!=dword:0

Kaspersky online

Infected Object Name / Virus Name / Last Action
C:\Archivos de programa\LPerri\CiberControl 3.21 PRO\Control.exe Suspicious: Packed.Win32.PePatch.dk skipped
C:\Archivos de programa\LPerri\CiberControl 3.21 PRO\datos\ciber.ldb Object is locked skipped
C:\Archivos de programa\LPerri\CiberControl 3.21 PRO\datos\ciber.mdb Object is locked skipped
C:\Archivos de programa\Programas\Thunderbird_Portable1.5.0.5_es\ ThunderbirdPortable\Data\profile\Mail\Local Folders\Inbox/[From FIFTH THIRD bank 2006 <custsupport-143.cust@53.com>][Date Fri, 25 Aug 2006 18:27:34 +0600]/UNNAMED/html Infected: Trojan-Spy.HTML.Fiffraud.i skipped
C:\Archivos de programa\Programas\Thunderbird_Portable1.5.0.5_es\ ThunderbirdPortable\Data\profile\Mail\Local Folders\Inbox/[From FIFTH THIRD bank 2006 <custsupport-143.cust@53.com>][Date Fri, 25 Aug 2006 18:27:34 +0600]/UNNAMED Infected: Trojan-Spy.HTML.Fiffraud.i skipped
C:\Archivos de programa\Programas\Thunderbird_Portable1.5.0.5_es\ ThunderbirdPortable\Data\profile\Mail\Local Folders\Inbox/[From Fifth Third Bank <supprefnum77457826387.cust@53.com>][Date Tue, 29 Aug 2006 18:26:02 +0000]/UNNAMED/html Infected: Trojan-Spy.HTML.Fiffraud.i skipped
C:\Archivos de programa\Programas\Thunderbird_Portable1.5.0.5_es\ ThunderbirdPortable\Data\profile\Mail\Local Folders\Inbox/[From Fifth Third Bank <supprefnum77457826387.cust@53.com>][Date Tue, 29 Aug 2006 18:26:02 +0000]/UNNAMED Infected: Trojan-Spy.HTML.Fiffraud.i skipped
C:\Archivos de programa\Programas\Thunderbird_Portable1.5.0.5_es\ ThunderbirdPortable\Data\profile\Mail\Local Folders\Inbox Mail Berkeley mbox: infected - 4 skipped
C:\Documents and Settings\All Users\Datos de programa\Avg7\Log\emc.log Object is locked skipped
C:\Documents and Settings\All Users\Datos de programa\Grisoft\Avg7Data\avg7log.log Object is locked skipped
C:\Documents and Settings\All Users\Datos de programa\Grisoft\Avg7Data\avg7log.log.lck Object is locked skipped
C:\Documents and Settings\Daniel\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Daniel\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\Daniel\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\Daniel\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Daniel\Configuración local\Historial\History.IE5\MSHist0120061009200610 10\index.dat Object is locked skipped
C:\Documents and Settings\Daniel\Configuración local\Temp\JET55A2.tmp Object is locked skipped
C:\Documents and Settings\Daniel\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\Daniel\ntuser.dat Object is locked skipped
C:\Documents and Settings\Daniel\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\System Volume Information\catalog.wci\00000002.ps1 Object is locked skipped
C:\System Volume Information\catalog.wci\00000002.ps2 Object is locked skipped
C:\System Volume Information\catalog.wci\00010013.ci Object is locked skipped
C:\System Volume Information\catalog.wci\cicat.fid Object is locked skipped
C:\System Volume Information\catalog.wci\cicat.hsh Object is locked skipped
C:\System Volume Information\catalog.wci\CiCL0001.000 Object is locked skipped
C:\System Volume Information\catalog.wci\CiP10000.000 Object is locked skipped
C:\System Volume Information\catalog.wci\CiP20000.000 Object is locked skipped
C:\System Volume Information\catalog.wci\CiPT0000.000 Object is locked skipped
C:\System Volume Information\catalog.wci\CiSL0001.000 Object is locked skipped
C:\System Volume Information\catalog.wci\CiSP0000.000 Object is locked skipped
C:\System Volume Information\catalog.wci\CiST0000.000 Object is locked skipped
C:\System Volume Information\catalog.wci\CiVP0000.000 Object is locked skipped
C:\System Volume Information\catalog.wci\INDEX.000 Object is locked skipped
C:\System Volume Information\catalog.wci\propstor.bk1 Object is locked skipped
C:\System Volume Information\catalog.wci\propstor.bk2 Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\components\flx3.dll Infected: not-virus:Hoax.Win32.Renos.fh skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\spool\PRINTERS\00004.SPL Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped

Scan process completed.



Panda online

Adware:adware/securityerror No desinfectado c:\windows\system32\ot.ico
Adware:adware/miamore No desinfectado c:\windows\adsldpbc.dll
Adware:adware/dyfuca No desinfectado c:\windows\STWSI
Spyware:spyware/searchcentrix No desinfectado Registro de Windows
Adware:adware/ncase No desinfectado Registro de Windows
Adware:adware/delta No desinfectado Registro de Windows
Spyware:Cookie/Atwola No desinfectado C:\Documents and Settings\Daniel\Datos de programa\Mozilla\Profiles\default\zb2ujpy9.slt\coo kies.txt[.atwola.com/]
Spyware:Cookie/Belnk No desinfectado C:\Documents and Settings\Daniel\Datos de programa\Mozilla\Profiles\default\zb2ujpy9.slt\coo kies.txt[.belnk.com/]
Spyware:Cookie/Com.com No desinfectado C:\Documents and Settings\Daniel\Datos de programa\Mozilla\Profiles\default\zb2ujpy9.slt\coo kies.txt[.google.com.ar/]
Virus:Trj/DNSChanger.AQ Desinfectado C:\WINDOWS\system32\hgqhp.exe


AVG Anti-Spyware

C:\WINDOWS\system32:hxaa.dll -> Downloader.Small.azk : Limpios con copia de seguridad (en cuarentena).
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{e0103cd4-d1ce-411a-b75b-4fec072867f4} -> Trojan.Puper.ac : Limpios con copia de seguridad (en cuarentena).
HKU\S-1-5-21-1957994488-682003330-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{E0103CD4-D1CE-411A-B75B-4FEC072867F4} -> Trojan.Puper.ac : Limpios con copia de seguridad (en cuarentena).


::Fin del informe

Use el DelPSGuard

DelPSGuard v 4.1.9
by www.ForoSpyware.com
Escaneo a las: 15:32:25,35, 10/10/2006
SO: Microsoft Windows XP [Versi¢n 5.1.2600]


»»»»»»»»»»»» Carpetas y Archivos infectados »»»»»»»»»»»»


»»»»»»»»»»»» Programas Malwares »»»»»»»»»»»»



»»»»»»»»»»»» FIN »»»»»»»»»»»»

HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 03:42:42 p.m., on 10/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\cisvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
C:\Archivos de programa\Winamp\Winampa.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S08IC 1.EXE
C:\Archivos de programa\Programas\Agenda\Agendilla1.04.02.23\Agen dilla.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\@HJ\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AltaVista Toolbar - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - C:\WINDOWS\DOWNLO~1\CONFLICT.2\ALTAVI~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {601ED020-FB6C-11D3-87D8-0050DA59922B} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: AltaVista Toolbar - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - C:\WINDOWS\DOWNLO~1\CONFLICT.2\ALTAVI~1.DLL
O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [EPSON Stylus C43 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S08IC 1.EXE /P23 "EPSON Stylus C43 Series" /O6 "USB001" /M "Stylus C43"
O4 - HKLM\..\Run: [Agendilla] C:\Archivos de programa\Programas\Agenda\Agendilla1.04.02.23\Agen dilla.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Búsqueda de AltaVista - file://C:\Archivos de programa\ALTAVISTA Toolbar\Cache\SelectedContextSearch.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Traducir - file://C:\Archivos de programa\ALTAVISTA Toolbar\Cache\SelectedContextTranslation.htm
O12 - Plugin for .mu3: C:\Archivos de programa\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mus: C:\Archivos de programa\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mut: C:\Archivos de programa\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .myr: C:\Archivos de programa\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} (AltaVista Toolbar) - http://toolbar.altavista.com/static/toolbar/altavista.cab?r=1137779373
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} (Java Plug-in) -
O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} (Java Plug-in) -
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} (Java Plug-in) -
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in) -
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3B22AB0-6C7B-4C2B-9573-C742397805A0}: NameServer = 200.49.156.4,200.49.156.8,200.49.156.3
O20 - Winlogon Notify: cfgmngr32 - C:\WINDOWS\
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel(R) Active Monitor (imonNT) - Intel Corp. - C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Auxilio por favor!!!!!

Hola Edgardo

No eres nuevo en el foro pero aun no conoces las politicas del foro de HJT, debes leerlas si te respondes tu mismo no se te atendera pues al ver el tema con al menos una respuesta seguimos con el siguiente pues pensamos que ha sido atendido por algun otro moderador.

Por otro lado tienes un tema abierto y sin respuesta:
Altnet, no lo puedo quitar (Solucionado)

Politicas del Foro de HJT
Por lo que cierro este temporalmente, hasta que respondas aquel.

Saludos,

PD: Aviseme (o a cualquiera de lo Moderadores de este foro) por MP para reabirlo despues de que respondas.

Hola de nuevo

Busca y elimina estos archivos con el KillBox, usando la opcion delete on reboot.

c:\windows\system32\ot.ico
c:\windows\adsldpbc.dll
c:\windows\STWSI
C:\WINDOWS\system32\hgqhp.exe

Siguiendo las instrucciones del enlace ejecuta Look2Me-Destroyer.exe

Al terminar pasas el RegSeeker, debes usar la opción Limpiar Registro, pásalo las veces que sean necesarias hasta que no aparezca nada.

Vuelves con un nuevo log y me comentas los resultados.

Saludos

Hola


Ni en modo normal ni en seguro Funciona el KillBox, cargo los archivos y luego del último, cuando doy en SI me tira este mensaje:

"PendingFileRenmeOperations Registry Data hasbeen Removed by External Process!"

De todas formas busque los archivos manualmente y no los encuentro. ¡¿Quizá ya no están?!

Paso el Spybot y detecta solo esto

Microsoft.WindowsSecurityCenter.FirewallDisableNot ify: Configuración (Cambio en el registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify!=dword:0

Microsoft.WindowsSecurityCenter.UpdateDisableNotif y: Configuración (Cambio en el registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify!=dword:0


Gracias por responder


este es el Log:


Logfile of HijackThis v1.99.1
Scan saved at 11:46:40 p.m., on 11/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe
C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
C:\Archivos de programa\Winamp\Winampa.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\cisvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Archivos de programa\@HJ\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AltaVista Toolbar - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - C:\WINDOWS\DOWNLO~1\CONFLICT.2\ALTAVI~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {601ED020-FB6C-11D3-87D8-0050DA59922B} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: AltaVista Toolbar - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - C:\WINDOWS\DOWNLO~1\CONFLICT.2\ALTAVI~1.DLL
O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [EPSON Stylus C43 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S08IC 1.EXE /P23 "EPSON Stylus C43 Series" /O6 "USB001" /M "Stylus C43"
O4 - HKLM\..\Run: [Agendilla] C:\Archivos de programa\Programas\Agenda\Agendilla1.04.02.23\Agen dilla.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Búsqueda de AltaVista - file://C:\Archivos de programa\ALTAVISTA Toolbar\Cache\SelectedContextSearch.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Traducir - file://C:\Archivos de programa\ALTAVISTA Toolbar\Cache\SelectedContextTranslation.htm
O12 - Plugin for .mu3: C:\Archivos de programa\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mus: C:\Archivos de programa\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mut: C:\Archivos de programa\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .myr: C:\Archivos de programa\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} (AltaVista Toolbar) - http://toolbar.altavista.com/static/toolbar/altavista.cab?r=1137779373
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} (Java Plug-in) -
O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} (Java Plug-in) -
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} (Java Plug-in) -
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in) -
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3B22AB0-6C7B-4C2B-9573-C742397805A0}: NameServer = 200.49.156.4,200.49.156.8,200.49.156.3
O20 - Winlogon Notify: cfgmngr32 - C:\WINDOWS\
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel(R) Active Monitor (imonNT) - Intel Corp. - C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Hola Edgardo

Disculpa la tardanza, en principio se me avisa psasdo tu tema entre los que atiendo, gracias por recordarmelo por MP.

Veamos el log no muestra mucho con lo cual trabajar asi que Descarga Mwav.exe y siguiendo las instrucciones de su Manual pegas aqui unicamente el reporte con las rutas de las infeccciones.
ftp://update.mailscan.info/download/tools/mwav.exe

Este programa no eliminara nada pero si tienes alguna infeccion la detectara, lo importante es colocar la ruta donde se encuentra la infeccion en tu proximo mensaje.

Saludos

Gracias por responder

Bueno, aca está el reporte del Mwav


Objeto "kazaa Spyware/Adware" encontrado en fichero de sistema. Acción tomada:

Ninguna acción tomada.

Objeto "kazaa Spyware/Adware" encontrado en fichero de sistema. Acción tomada:

Ninguna acción tomada.

Objeto "istbar Spyware/Adware" encontrado en fichero de sistema. Acción tomada:

Ninguna acción tomada.

Objeto "UnSpyPC adware" encontrado en fichero de sistema. Acción tomada: Ninguna

acción tomada.

Objeto "deskad.service Spyware/Adware" encontrado en fichero de sistema. Acción

tomada: Ninguna acción tomada.

Objeto "smitfraud Browser Hijacker" encontrado en fichero de sistema. Acción tomada:

Ninguna acción tomada.

Objeto "smitfraud Browser Hijacker" encontrado en fichero de sistema. Acción tomada:

Ninguna acción tomada.

Objeto "whenu.sidefinder Spyware/Adware" encontrado en fichero de sistema. Acción

tomada: Ninguna acción tomada.

Objeto "smitfraud Browser Hijacker" encontrado en fichero de sistema. Acción tomada:

Ninguna acción tomada.

Objeto "whenu.sidefinder Spyware/Adware" encontrado en fichero de sistema. Acción

tomada: Ninguna acción tomada.

Objeto "smitfraud Browser Hijacker" encontrado en fichero de sistema. Acción tomada:

Ninguna acción tomada.

Objeto "access diver Spyware/Adware" encontrado en fichero de sistema. Acción tomada:

Ninguna acción tomada.

Objeto "kazaa Spyware/Adware" encontrado en fichero de sistema. Acción tomada:

Ninguna acción tomada.

Objeto "winfixer/errorsafe Adware" encontrado en fichero de sistema. Acción tomada:

Ninguna acción tomada.

Objeto "cydoor Spyware/Adware" encontrado en fichero de sistema. Acción tomada:

Ninguna acción tomada.

Objeto "cydoor Spyware/Adware" encontrado en fichero de sistema. Acción tomada:

Ninguna acción tomada.

Objeto "kazaa Spyware/Adware" encontrado en fichero de sistema. Acción tomada:

Ninguna acción tomada.

Objeto "winfixer/errorsafe Adware" encontrado en fichero de sistema. Acción tomada:

Ninguna acción tomada.

Objeto "whenu.sidefinder Spyware/Adware" encontrado en fichero de sistema. Acción

tomada: Ninguna acción tomada.

Objeto "smitfraud Browser Hijacker" encontrado en fichero de sistema. Acción tomada:

Ninguna acción tomada.

Objeto "whenu.sidefinder Spyware/Adware" encontrado en fichero de sistema. Acción

tomada: Ninguna acción tomada.

Objeto "smitfraud Browser Hijacker" encontrado en fichero de sistema. Acción tomada:

Ninguna acción tomada.

Objeto "access diver Spyware/Adware" encontrado en fichero de sistema. Acción tomada:

Ninguna acción tomada.

Objeto "kazaa Spyware/Adware" encontrado en fichero de sistema. Acción tomada:

Ninguna acción tomada.

Objeto "winfixer/errorsafe Adware" encontrado en fichero de sistema. Acción tomada:

Ninguna acción tomada.

Objeto "cydoor Spyware/Adware" encontrado en fichero de sistema. Acción tomada:

Ninguna acción tomada.

Objeto "cydoor Spyware/Adware" encontrado en fichero de sistema. Acción tomada:

Ninguna acción tomada.

Entrada "HKLM\Software\Microsoft\Windows\CurrentVersion\Mo duleUsage" referida a un

objeto inválido "C:\WINDOWS\System32\LegitCheckControl.DLL". Acción tomada: Ninguna

acción tomada.

Entrada "HKLM\Software\Microsoft\Windows\CurrentVersion\Sh aredDlls" referida a un

objeto inválido "C:\Archivos de programa\Ahead\Nero BackItUp\BackItUp-Deu.nls". Acción

tomada: Ninguna acción tomada.

Entrada "HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\FileExts" referida a

un objeto inválido ".com[1]". Acción tomada: Ninguna acción tomada.

Entrada "HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\FileExts" referida a

un objeto inválido ".com[2]". Acción tomada: Ninguna acción tomada.


>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> >>>>>

Espero esté bien pegado, por las dudas pego otro sin "Ajuste de línea":

Objeto "kazaa Spyware/Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "kazaa Spyware/Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "istbar Spyware/Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "UnSpyPC adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "deskad.service Spyware/Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "smitfraud Browser Hijacker" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "smitfraud Browser Hijacker" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "whenu.sidefinder Spyware/Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "smitfraud Browser Hijacker" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "whenu.sidefinder Spyware/Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "smitfraud Browser Hijacker" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "access diver Spyware/Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "kazaa Spyware/Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "winfixer/errorsafe Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "cydoor Spyware/Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "cydoor Spyware/Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "kazaa Spyware/Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "winfixer/errorsafe Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "whenu.sidefinder Spyware/Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "smitfraud Browser Hijacker" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "whenu.sidefinder Spyware/Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "smitfraud Browser Hijacker" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "access diver Spyware/Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "kazaa Spyware/Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "winfixer/errorsafe Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "cydoor Spyware/Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Objeto "cydoor Spyware/Adware" encontrado en fichero de sistema. Acción tomada: Ninguna acción tomada.
Entrada "HKLM\Software\Microsoft\Windows\CurrentVersion\Mo duleUsage" referida a un objeto inválido "C:\WINDOWS\System32\LegitCheckControl.DLL". Acción tomada: Ninguna acción tomada.
Entrada "HKLM\Software\Microsoft\Windows\CurrentVersion\Sh aredDlls" referida a un objeto inválido "C:\Archivos de programa\Ahead\Nero BackItUp\BackItUp-Deu.nls". Acción tomada: Ninguna acción tomada.
Entrada "HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\FileExts" referida a un objeto inválido ".com[1]". Acción tomada: Ninguna acción tomada.
Entrada "HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\FileExts" referida a un objeto inválido ".com[2]". Acción tomada: Ninguna acción tomada.

Hola de nuevo

Veras en princpio la mayoria de lo que te muestra puede que no sea cierto, sim embargo revisa en agregar o quitar programas si esta alguno de los Spyware que te mensiona despues de Objeto:

Digo que puede que no sea cierto porque a veces confunde nombres que resultan similiares en estos ficheros, muy diferente cuando te muestra algun archivo como infectado.

¿Que problemas tiene tu pc?, dame mas información.

Descarga y ejecuta EliStarA.exe y Look2Me-Destroyer.exe, este ultimo sigiuendo las indicaciones del enlace.

Saludos

Hola Jimmy12

Revisé los programas instalados y no encuentro nada sospechoso, solo lo del Kazaa, que lo tenía instalado pero ahora no aparece en la lista ¡?¡
Busque en el Spybor y RegSeeker y tampoco aparece, pero funciona!!!
Es un KaZaA Lite 1.7.1, es una versión del 2001 creo, y no molesta, por eso la conservo.

Te informo:
Comencé a revisar la PC porque la conexión estaba lerda por momentos, (Tengo 1MB de Fibertel y me tardo 2 horas es actualizar el Ad-Aware, por ejemplo) y fue ahí que descubro este PSGuard.
Cuando me parecía que estaba todo casi limpio, fibertel me cambia la IP, sin darme tiempo a probar la conexión, con lo cual no se si el recupero de banda se debió a la limpieza o la nueva IP!!

Después de toda esta limpieza, Ad-Aware y Spybor ya no encuentran nada.
Ahora, revisando el Registro, encuentro estas entradas sospechosas:

Estas 2 relacionadas con “cfgmngr32”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cfgmngr32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify_Disabled\cfgmngr 32

Y este montón con “Search Assistant”

HKEY_CLASSES_ROOT\CLSID\{47C6C527-6204-4F91-849D-66E234DEE015}
Search Assistant Control

HKEY_CLASSES_ROOT\CLSID\{9461b922-3c5a-11d2-bf8b-00c04fb93661}
Search Assistant OC

HKEY_CLASSES_ROOT\CLSID\{B791A095-A4AC-4312-8894-5B7E8FF5B3CD}
Search Assistant Tip Service

HKEY_CLASSES_ROOT\SrchUI.SearchAssistant
Search Assistant Control

HKEY_CLASSES_ROOT\SrchUI.SearchAssistant.1
Search Assistant Control

HKEY_CLASSES_ROOT\TypeLib\{ECA4E801-17AE-4863-9F5C-AF4047AABEE0}
HKEY_CLASSES_ROOT\TypeLib\{ECA4E801-17AE-4863-9F5C-AF4047AABEE0}\1.0
Search Assistant 1.0 Type Library

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Use Search Assistant no
Use Search Assistant_bak no

HKEY_CURRENT_USER\Software\Microsoft\Search Assistant

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{47C6C52 7-6204-4F91-849D-66E234DEE015}
Search Assistant Control

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9461b92 2-3c5a-11d2-bf8b-00c04fb93661}
Search Assistant OC

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B791A09 5-A4AC-4312-8894-5B7E8FF5B3CD}
Search Assistant Tip Service

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SrchUI.SearchA ssistant
Search Assistant Control

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SrchUI.SearchA ssistant.1
Search Assistant Control

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ECA4E 801-17AE-4863-9F5C-AF4047AABEE0}\1.0
Search Assistant 1.0 Type Library

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Shell Extensions\Approved
{9461b922-3c5a-11d2-bf8b-00c04fb93661} Search Assistant OC

HKEY_USERS\.DEFAULT\Software\Microsoft\Search Assistant

HKEY_USERS\S-1-5-18\Software\Microsoft\Search Assistant

HKEY_USERS\S-1-5-19\Software\Microsoft\Search Assistant

HKEY_USERS\S-1-5-20\Software\Microsoft\Search Assistant

HKEY_USERS\S-1-5-21-1957994488-682003330-839522115-1003\Software\Microsoft\Internet Explorer\Main
Use Search Assistant no
Use Search Assistant_bak no

HKEY_USERS\S-1-5-21-1957994488-682003330-839522115-1003\Software\Microsoft\Search Assistant

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> >>>>>>

Si las entradas son normales, en apariencia, estría todo bien.

No entiendo el reporte de Mwav, pero si este te indica que debo seguir escaseando la PC, habrá que hacerlo.

Espero tu respuesta

Gracias
Edgardo

Hola de nuevo

Esto lo puedes borrar sin problema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cfgmngr32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify_Disabled\cfgmngr 32

En cuanto a las otra entradas a priori pertenecen al buscador de windows

Ahora la manera de saber si son restos de algo eliminado, seria limpiando el registro con RegSeeker.

Debes comentas si ya no tienes problemas, pues yo no veo nada malo ya.

Saludos

Hola Jimmy12

Bien, podemos dar el tema por solucionado.
Borro las entradas de “cfgmngr32” y listo, pues el registro ya lo limpié.

Por ahora todo anda bien, espero que dure…

Muchas gracias y hasta la próxima

Edgardo