Hola. Es mi primera intervención. Tengo una PC con una MB TXPro PC100 con chipset sis530. Operaba con Win 98 con todas las actualizac. y parches de seguridad. Pero ya la PC mostraba una navegación muy lenta. Recientemente conseguí un K6-2 450 Mhz que instalé con éxito. Entonces decidí actualizar a Windows 2000. Sé de la mayor vulnerabilidad de este SO así que lo primero fue intentar bajar el IE6 SP1 de Windows Update. Al instalarlo me da un error de firma y me sugiere buscar soft en el sitio de Microsoft (!?) De ahí lo había sacado. La cuestión es que aborta el proceso y no me instala el el IE6 SP1. Depués de 4 intentos sigo con el IE5. Pero con el 2000 tengo más visión de los procesos. Ahí encontré uno extraño corriendo: fcyyx.exe que no podía terminar. Intentando los sitios de Antivirus, no conseguía conectarme. La herramienta de Symantec aparecía en una ventana en blanco!.
El Spybot S&D indicó el Smitfraud, y que además debía bajar el Process Explorer, ubicar el string malicioso en determinado proceso y matar sus apariciones. Eso hice, con gran satisfacción. Pero estaba cantando victoria cuando ví que se generaban nuevos procesos clonados (Caso el csrss.exe) en distintos puntos que volvían a desatar la actividad vírica. Y de vuelta las pop-ups indicando errores de registro y otros y que para solucionarlo debía conectarme con diversas direcciones de internet.
En la búsqueda de ayuda a través del Google encontré este Foro, y problemas similares al mío y sus soluciones. Traje mi HD a la oficina y como esclavo de la PC que uso le copié todas las herramientas antispyware que Uds. recomiendan.
Vuelta en mi casa, conseguí correr el Spybot S&D 1.4 en modo protegido, encontró el Smitfraud y también señaló al winlogon como maligno. Corregí y al re-iniciar corrí el HijackThis. Intenté conectarme con el Foro para pegar el Log, pero me fué imposible. A través del Process Explorer ví como el maldito seguía reproduciéndose. Matando sus apariciones conseguía tiempo para estar en línea, pero aún así no se desplegaba correctamente la página. No podía navegar.
Decidí entonces tomar alguna acción por mi cuenta, que les cuento a continuación del primer log obtenido, que pego a continuación:

Logfile of HijackThis v1.99.1
Scan saved at 00:05:18, on 09/11/2006
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\regsvc.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\Explorer.exe
C:\Archivos de programa\CA-85UR\ADSL\CnxDslTb.exe
C:\WINDOWS\System32\internat.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
c:\program files\MSN Apps\Updater\01.03.0000.1005\es-la\msnappau.exe
C:\WINDOWS\csrss.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Archivos de programa\Deskbar\deskbar.dll
O2 - BHO: (no name) - {4214F097-5BAE-4AD0-BCBF-D5B23B45BE2F} - C:\WINDOWS\System32\fcyyx.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL
O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Archivos de programa\Deskbar\deskbar.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.5000.1021\ES-LA\MSNTB.DLL
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.5000.1021\ES-LA\MSNTB.DLL
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\CA-85UR\ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/spanish/msn
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.microsoft.com/spanish/msn
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?Link...04&clcid=0x409
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1162076945547
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E94054D-CE7B-4BF2-A913-D6EAE4223605}: NameServer = 200.45.191.35 200.45.191.40
O17 - HKLM\System\CS2\Services\Tcpip\..\{1E94054D-CE7B-4BF2-A913-D6EAE4223605}: NameServer = 200.45.191.35 200.45.191.40
O20 - Winlogon Notify: fcyyx - C:\WINDOWS\System32\fcyyx.dll
O23 - Service: Client Server Runtime Proces - Unknown owner - C:\WINDOWS\csrss.exeO23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: LSA Shel (Export Version) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)
O23 - Service: Windows NT - Unknown owner - C:\WINDOWS\winlogon.exe (file missing)

Intenté resaltar en Rojo las líneas que indiqué eliminar. Son las 016 DPF del msnmessenger; la 020 del winlogon Notify: fcyyx; la 023 Service - ... Windows\csrss.exe; la 023 Service: ... Windows\lsass.exe (file missing) y la 023 - Service: ... Windows\winlogon.exe (file missing)

Luego con el Killbox, borré lo siguiente al bootear:
C:\Windows\system32\winlogon.exe
C:\Windows\system32\fcyyx.dll
C:\Windows\winlogon.exe

Y finalmente pasé el Diskcleaner seleccionando todo.

Pero el problema continúa. Las pop-ups siguen apareciendo, y ya era demasiado de madrugada para intentar conectarme con Uds. desde mi casa y pasarles estos datos. Lo estoy haciendo desde mi trabajo. Les pego el que - creo - que es el último log del HijackThis, y al final una curiosa aparición en el directorio de HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 01:11:06, on 09/11/2006
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\regsvc.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\Explorer.exe
C:\Archivos de programa\CA-85UR\ADSL\CnxDslTb.exe
C:\WINDOWS\System32\csrs.exe
C:\WINDOWS\System32\internat.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Archivos de programa\Deskbar\deskbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL
O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Archivos de programa\Deskbar\deskbar.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.5000.1021\ES-LA\MSNTB.DLL
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.5000.1021\ES-LA\MSNTB.DLL
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\CA-85UR\ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/spanish/msn
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.microsoft.com/spanish/msn
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?Link...04&clcid=0x409
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1162076945547
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe

Al buscar el log a través del Explorador de Windows me encuentro con una carpeta llamada !HijackThis y dependiendo de ella otra carpeta llamada Logs y un archivo: curiosamente, el winlogon.exe con fecha 17/9/2001 a las 21:01 hs. !!!

Bien. Perdonen la extensión del caso, pero creo haberles dado más o menos la idea de lo que me está desesperando

Habrán visto que habilité el Tea Timer del SpyBot. Es la primera vez que lo uso y las ventanas que aparecen están con errores (los botones no se forman bien) por lo tanto no sé que acción tomar. Supongo que está bloqueando la aparición de la infección. Pero también puede haber bloqueado la acción de las herramientas anti spyware. Previo a pasar el Killbox, si mal no recuerdo, removí al Tea timer de los procesos en curso.

Aguardo vuestra experta (e indulgente) respuesta. Un cordial saludo.

Hola gus296, te doy la bienvenida al Foro de InfoSpyware.


Paso 1- Apaga el "Restaurar Sistema"

Paso 2- Descarga estas herramientas pero no las ejecutes aun:

• VundoFix.exe
• Spy Sweeper 5.2

Paso 3- Con todos los programas cerrados ejecuta el HijackThis y dale a estas entradas:


O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)

O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe

O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe




Paso 4- Sin reiniciar con el programa "KillBox" elimina estos archivos:


C:\WINDOWS\System32\spoolsvc.exe
C:\WINDOWS\System32\csrs.exe



Paso 5- Reinicie eh inicia en "Modo a prueba de fallos" (modo seguro)

Paso 6- Ejecuta estas herramientas, de a una:

• VundoFix.exe
• Spy Sweeper 5.2

Paso 7- Usa el Disk Cleaner para limpiar cookies y temporales y RegSeeker para limpiar el registro de Win.

Paso 8- Reinicia y hacele un escaneo online con "Panda ActiveScan Online"

Reinicia y nos contas los resultados.

Salu2

Hola a todos. Sigo con problemas. Mi PC mantiene una actividad de tráfico de datos en background como si fuera un zombie.
Por de pronto, realicé todos los pasos propuestos.
Tuve alguna dificultad con Apagar el restablec. del Sistema, ya que las explicaciones para Me o XP no son similares para W2K. Destildé algunas casillas relativas con el restablecimiento.
Apliqué el HJT y eliminé las entradas sugeridas, salvo que la de spoolsvc.exe estaba inexistente. A tavés del Killbox eliminé a spoolsv.exe, y ahí creo que fue un error ya que debe ser un archivo genuino del sistema.
En modo a prueba de fallos corrí el VundoFix.exe pero no encontró a Vundo en el sistema.
Luego corrí el Spysweeper, pero sólo identifiqué los problemas, pero no los limpié porque debía suscribirme con 30 Euros.
Corrí entonces el Spybot 1.4 con las últimas actualizaciones, pero en Modo a Prueba de Fallos no tengo el mouse, con lo que si bien conseguí entrar en la ventana donde muestra los problemas, no alcancé a ver qué detectó. Le dí solucionar, de todos modos.
Luego corrí entre 8 y 10 veces el regseeker hasta limpiar totalmente. Quedaron dos rebeldes que se volvían a generar: El inicio de Office. (Que nunca invoqué, tampoco): Las eliminé del Arranque, pero se vuelven a generar.
Me conecté con el Panda Activescan, pero fue imposible acceder a la herramienta. La ventana se mostraba en blanco. Y el procesador se ponía al 100%.
Vuelvo a correr el Process Explorer y veo que se carga el winamp.exe (sin haber nunca invocado que arrancara y quedara residente). También lo había borrado del Inicio, con el Regseeker.
El Spysweeper, en la primera instalación, me preguntó por actualizar a la última versión. Acepté, pero antes de terminar de bajar avisó de corrupción de archivos. Resultado: Al arrancar la compu. e intentar cargarse, informa del problema. Tuve que correr la versión tal como la bajé de los links de Uds.
El Spysweeper queda como residente. Al intentar eliminarlo, se resiste.
Tuve que volver a correr el Regseeker para borrarlo del Arranque, y volver a limpiar el registro.
Continúa corrompiendo las descargas de actualizaciones de antivirus, caso Spybot o Avast. Sigo sin poder entrar a la herramienta de Symantec, porque la ventana respectiva aparece en blanco, también.
En este punto decidí volver a instalar (reparar) el Win2K. Comento que se volvió a repetir lo mismo que en la primera instalación sobre el W98SE: hay 4 archivos que no se copian correctamente, tal vez por algún problema del CD de instalación: comdlg32.dll; irprops.cpl; netplwiz.dll y regwiz.dll. No sé si esto puede ser responsable de alguno de los problemas.
Con el sistema limpio según creí, volví a conectarme con Windows Update para actualizar, pero no da tiempo, ya que el procesador se satura.
Conectado a Internet, veo un gran tráfico de datos: en aprox. 3 min. se transmitió aprox 1 MB y se recibieron unos 890 Kb. (Sólo abierta la portada de Google)
Volví a correr el Process Explorer, y me encuentro con varios procesos que aparecen: winospd.exe; wininsl.exe; savedump.exe; mdm.exe; ctfmom.exe
Cuando intenté en propiedades, ver los threads activos de uno de ellos se produjo un reset de la máquina. Alcancé a correr un HJT para captar lo que tenía corriendo.
Luego de levantar nuevamente volví a establecer una conexión, y ví como se generaba de vuelta tráfico. Alcancé a ver algunos procesos que se generan y luego desaparcen (zyw... no alcancé a distinguir el total, dependía del mdm.exe) lo mismo que el tftp.exe y el slbo.exe. Al intentar ver los threads del ctfmom.exe alcancé a ver innumerables KERNELL32.dll+0x12c50 y al poco se provocó un reset.
Durante esa conexión en 4 a 5 min. se transmitieron más de 3 MB y recibieron más de 1,2 MB!!! Entré en propiedades de la conexión, y como Dirección IP Cliente apareció 201.252.11.244
Lamentablemente en un tercer intento, en conexión, para capturar los procesos con el HJT, la máquina se puso excesivamente lenta, casi colgada, y el procesador al 100%. No lo conseguí, pero el que pego a continuación también fue obtenido durante la primera conexión:

Logfile of HijackThis v1.99.1
Scan saved at 07:13:19, on 13/11/2006
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MSTask.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\Archivos de programa\CA-85UR\ADSL\CnxDslTb.exe
C:\WINDOWS\System32\ctfmom.exe
C:\WINDOWS\System32\internat.exe
C:\WINDOWS\System32\mdm.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Archivos de programa\Deskbar\deskbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.5000.1021\ES-LA\MSNTB.DLL
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.5000.1021\ES-LA\MSNTB.DLL
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\CA-85UR\ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [Windows Update Firewall System] ctfmom.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKLM\..\RunServices: [Windows Update Firewall System] ctfmom.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/spanish/msn
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.microsoft.com/spanish/msn
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1162076945547
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
O23 - Service: wlmsngr - Unknown owner - C:\WINDOWS\wlmsngr.exe (file missing)

Las pantallas del Process Explorer (y los threads multiplicados del Spysweeper) y del Spysweeper siguen (no las consguí pegar acá), y por último el registro del Spysweeper:

03:30: Indicios encontrados: 17
03:30: Barrido completo finalizado. Tiempo transcurrido 00:19:36
03:30: Barrido de archivos finalizado, tiempo transcurrido: 00:15:24
03:30: Advertencia: Failed to access drive E:
03:30: Advertencia: Failed to access drive D:
03:26: Advertencia: Failed to open file "c:\documents and settings\gustavo\ntuser.dat.log". El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso
03:26: Advertencia: Failed to open file "c:\documents and settings\gustavo\ntuser.dat". El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso
03:26: Advertencia: Failed to open file "c:\archivos de programa\webroot\spy sweeper\settings.dat". El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso
03:25: lapwx3izvt.vbs (ID = 185675)
03:22: Advertencia: Failed to open file "c:\windows\configuración local\datos de programa\microsoft\windows\usrclass.dat.log". El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso
03:22: Advertencia: Failed to open file "c:\windows\configuración local\datos de programa\microsoft\windows\usrclass.dat". El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso
03:19: Advertencia: Failed to open file "c:\windows\system32\config\sam.log". El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso
03:19: Advertencia: Failed to open file "c:\windows\system32\config\default.log". El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso
03:19: Advertencia: Failed to open file "c:\windows\system32\config\system.alt". El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso
03:19: Advertencia: Failed to open file "c:\windows\system32\config\software.log". El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso
03:19: Advertencia: Failed to open file "c:\windows\system32\config\security.log". El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso
03:19: Advertencia: Failed to open file "c:\windows\system32\config\sam". El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso
03:19: Advertencia: Failed to open file "c:\windows\system32\config\security". El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso
03:19: Advertencia: Failed to open file "c:\windows\system32\config\default". El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso
03:19: Advertencia: Failed to open file "c:\windows\system32\config\software". El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso
03:19: Advertencia: Failed to open file "c:\windows\system32\config\system". El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso
03:14: Advertencia: Failed to open file "c:\pagefile.sys". Acceso denegado
03:14: Iniciando barrido de archivos
03:14: Advertencia: Failed to access drive A:
03:14: Barrido de cookies finalizado, tiempo transcurrido: 00:00:02
03:14: gustavo@nbcuniversal.122.2o7[1].txt (ID = 1958)
03:14: gustavo@xiti[1].txt (ID = 3717)
03:14: Encontrado Spy Cookie: xiti cookie
03:14: gustavo@ad.yieldmanager[1].txt (ID = 3751)
03:14: Encontrado Spy Cookie: yieldmanager cookie
03:14: gustavo@m.webtrends[1].txt (ID = 3669)
03:14: gustavo@microsofteup.112.2o7[1].txt (ID = 1958)
03:14: gustavo@m.webtrends[2].txt (ID = 3669)
03:14: Encontrado Spy Cookie: webtrends cookie
03:14: gustavo@pricegrabber[2].txt (ID = 3185)
03:14: Encontrado Spy Cookie: pricegrabber cookie
03:14: gustavo@servlet[1].txt (ID = 3345)
03:14: Encontrado Spy Cookie: servlet cookie
03:14: gustavo@go[2].txt (ID = 2728)
03:14: gustavo@movies.go[2].txt (ID = 2729)
03:14: Encontrado Spy Cookie: go.com cookie
03:14: gustavo@2o7[2].txt (ID = 1957)
03:14: Encontrado Spy Cookie: 2o7.net cookie
03:14: gustavo@dist.belnk[2].txt (ID = 2293)
03:14: gustavo@belnk[1].txt (ID = 2292)
03:14: Encontrado Spy Cookie: belnk cookie
03:14: Iniciando barrido de cookies
03:14: Barrido de registro finalizado, tiempo transcurrido:00:01:06
03:14: HKU\S-1-5-21-1292428093-1563985344-842925246-1000\software\microsoft\ole\ || windows update (ID = 117358)
03:14: Encontrado Adware: cws iesprt
03:14: HKLM\system\currentcontrolset\enum\root\legacy_cmd service\ (ID = 1016072)
03:14: HKLM\system\currentcontrolset\enum\root\legacy_cmd service\0000\ (ID = 1016064)
03:14: Encontrado Adware: command
03:13: Iniciando barrido de registro
03:13: Barrido de memoria finalizado, tiempo transcurrido: 00:02:29
03:11: Iniciando barrido de memoria
03 Barrido iniciado utilizando la versión de las definiciones 723
03 Spy Sweeper 5.0.7.1608 iniciado
03 | Inicio de sesión, Lunes, 13 de Noviembre de 2006 |
********
03 | Fin de la sesión, Lunes, 13 de Noviembre de 2006 |
03 Versión del programa 5.0.7.1608 Utilizar definiciones 723
03:00: Spy Sweeper 5.0.7.1608 iniciado
03:00: | Inicio de sesión, Lunes, 13 de Noviembre de 2006 |
********

Espero que ahora sí podamos encontrar al maldito. Ya estoy obsesionado con saber de qué malware se trata.

Ah! las ventanas pop-ups anunciando de errores en el registro y otras similares, pidiendo conectarse con determinados sitios web, ya no aparecen más. Esa parte se solucionó.

Gracias por soportar esta lata!

Hola en modo a prueba de fallos pasa nuevamente Spy Sweeper y tambien el AVG Antispyware y VundoFix.exe

En lugar de Panda online usa el Kaspersky Online para ver que mas encuentra y nos dejas su reporte.

Salu2

HOLA. Esta maniana antes de salir de viaje cargue el avg anti spyware. Antes corri el vundofix en modo protegido pero no encontro nada. Lamentablemente con el avg instalado el procesador se satura y la maquina se cuelga, practicamente. Hice dos intentos de reinicio pero no consegui avanzar. El jueves estoy de regreso y voy a intentar en modo protegido. Pero tengo que encontrar el modo de hacer funcionar el mouse, ya que con tab y cursor no hay forma de controlar el avg.
Gracias, y esperenme que el jueves estoy de vuelta.

Hola. Otra vez estoy de vuelta. La situación está así:
Pude pasar el AVG Antispyware finalmente, pero cuando finalizó la máquina quedó colgada. Así que tomé nota del reporte y lo transcribo más abajo.
El Spysweeper da error al cargar, y pide nueva instalación. No lo pude hacer todavía.
El reporte del AVG se obtuvo estando en línea. En el interín la actividad de transmisión de datos sigue en background. Después que se transmitieron más de 8 MB desconecté el modem.
Antes de hacerlo, el intento de conexión con páginas web no fue posible. Aparece como Página no encontrada. La única excepción fue la página del AVG, que accedí a través de un link en la ventana del programa mientras estaba operando. Por esto no pude llegar al Kasperski on-line.
El AVG lo pasé en modo Normal, ya que en modo Seguro no tenía el mouse y con Tab y cursor no lo podía manejar. El reporte fue el siguiente:

Backdoor.Rbot
Backdoor.Rbot.ban
Downloader.Agent.Amt
Downloader.Small.duf
Backdoor.PoeBot.C
Hijacker.Small.jf
Trojan.Dialer.qy
Adware.Softomate
Adware.Generic
TrackingCookie.com
TrackingCookie.2o7
TrackingCookie.Esomniture
TrackingCookie.Liveperson
TrackingCookie.YieldManager

Sobre el Softomate, menciona que hay dos trazas en 668C:\Archivos de Programa\deskbar\deskbar.dll
en C:\Archivos de Programa\Deskbar\delete_on_reboot

Tal vez porque el cursor quedó en esa línea. Como estaba colgdo, no pude hacer nada más.

El HJT obtenido previamente, también en conexión, fue el siguiente:

Logfile of HijackThis v1.99.1
Scan saved at 02:07:53, on 17/11/2006
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\taskmgr.exe
C:\Archivos de programa\CA-85UR\ADSL\CnxDslTb.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\System32\ctfmom.exe
C:\WINDOWS\System32\internat.exe
c:\program files\MSN Apps\Updater\01.03.0000.1005\es-la\msnappau.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Archivos de programa\Deskbar\deskbar.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.5000.1021\ES-LA\MSNTB.DLL
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.5000.1021\ES-LA\MSNTB.DLL
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\CA-85UR\ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [Windows Update Firewall System] ctfmom.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\System32\slbo.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunServices: [Windows Update Firewall System] ctfmom.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/spanish/msn
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.microsoft.com/spanish/msn
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1162076945547
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
O23 - Service: Windows taskmanager - Unknown owner - C:\WINDOWS\taskmgr.exe
O23 - Service: wlmsngr - Unknown owner - C:\WINDOWS\wlmsngr.exe (file missing)

Por favor noten que había conseguido eliminar el proceso del Spysweeper. Tal vez eso me permitió que el AVG por fin se desplegara. (Tampoco estaba corriendo el Process Explorer)

Esta mañana traté de conseguir otra corrida del AVG, pero no conseguí eliminar los procesos del Spysweeper (no permite la terminación de los procesos, con el Process Explorer, o el taskbar) Tal vez por eso, cada invocación al AVG resultaba en un proceso que quedaba operando, consumiendo recursos, pero el progama no se desplegaba en pantalla. Obtuve de todos modos obtuve otro Log del HJT. Resultó similar al anterior, salvo por las líneas que muestran los procesos del Spysweeper y del avgas.exe que es el AVG Antispyware. En esta oportunidad lo hice con el modem ADSL desconectado.

A ver si con esto puedo desplegar alguna acción más específica. Desde ya les agradezco el tiempo en tratar de ayudarme.

Hola, ya que pasaron unos dias, contanos como esta trabajando tu equipo a ver si podemos dar el tema por solucionado.

SAlu2

Hola. Acá estoy otra vez.
La situación sigue más o menos igual salvo que tengo identificado al agresor.
Mediante el Spybot S&D 1.4 conseguí identificar la acción de 4 virus que fueron eliminados (no sé si totalmente) menos un 5to.: El Sality.Badcro, que tiene un proceso en C:\WINDOWS\SYSTEM32\wdmfmc32.dll que no se puede eliminar por estar en memoria.

Pego a continuación el reporte del Spybot:
[CommandService.zip]
File=nwnmff_e41.exe
Product=Command Service
Description=Archivo de programa
Date=29/10/2006 21:54:31
Destination=C:\\
Type=File

[CommandService1.zip]
File=newname.dat
Product=Command Service
Description=Datos
Date=29/10/2006 21:54:54
Destination=C:\windows\
Type=File

[CommandService10.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Command Service
Description=Configuración
Date=31/10/2006 03:16:02
Destination=HKEY_LOCAL_MACHINE\SYSTEM\CurrentContr olSet\Services\cmdService
Type=Registry

[CommandService11.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Command Service
Description=Servicio del sistema
Date=31/10/2006 03:16:03
Destination=HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00 2\Services\cmdService
Type=Registry

[CommandService2.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Command Service
Description=Configuración de autoejecución
Date=29/10/2006 21:54:57
Destination=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run\newname
Type=Registry

[CommandService3.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Command Service
Description=Configuración de autoejecución (ntdll.dll)
Date=29/10/2006 21:54:57
Destination=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run\ntdll.dll
Type=Registry

[CommandService4.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Command Service
Description=Configuración
Date=29/10/2006 21:54:58
Destination=HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00 1\Services\cmdService
Type=Registry

[CommandService5.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Command Service
Description=Configuración
Date=29/10/2006 21:54:59
Destination=HKEY_LOCAL_MACHINE\SYSTEM\CurrentContr olSet\Services\cmdService
Type=Registry

[CommandService6.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Command Service
Description=Servicio del sistema
Date=29/10/2006 21:54:59
Destination=HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00 2\Services\cmdService
Type=Registry

[CommandService7.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Command Service
Description=Servicio del sistema
Date=29/10/2006 22:07:31
Destination=HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00 2\Services\cmdService
Type=Registry

[CommandService8.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Command Service
Description=Servicio del sistema
Date=29/10/2006 23:55:14
Destination=HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00 2\Services\cmdService
Type=Registry

[CommandService9.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Command Service
Description=Configuración
Date=31/10/2006 03:16:01
Destination=HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00 1\Services\cmdService
Type=Registry

[CoolWWWSearch.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=CoolWWWSearch
Description=Página de búsqueda de IE
Date=29/10/2006 21:54:59
Destination=HKEY_USERS.DEFAULT\Software\Microsoft\ Internet Explorer\Search\SearchAssistant Explorer\Main\Default_Search_URL=about:blank
Type=Registry

[CoolWWWSearch1.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=CoolWWWSearch
Description=Página de búsqueda de IE
Date=29/10/2006 21:54:59
Destination=HKEY_USERS.DEFAULT\Software\Microsoft\ Internet Explorer\Search\SearchAssistant Explorer\Main\Default_Search_URL=about:blank
Type=Registry

[Deskbar.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Deskbar
Description=Clase raíz
Date=11/11/2006 02:15:36
Destination=HKEY_LOCAL_MACHINE\Software\Classes\DB TB00001.DeskBar.1
Type=Registry

[Deskbar1.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Deskbar
Description=Clase raíz
Date=11/11/2006 02:15:37
Destination=HKEY_LOCAL_MACHINE\Software\Classes\DB TB00001.DBTB00001.1
Type=Registry

[Deskbar2.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Deskbar
Description=Configuración
Date=11/11/2006 02:15:37
Destination=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Explorer\Browser Helper Objects\{A8B28872-3324-4CD2-8AA3-7D555C872D96}
Type=Registry

[Deskbar3.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Deskbar
Description=ID de clase
Date=11/11/2006 02:15:37
Destination=HKEY_LOCAL_MACHINE\Software\Classes\CL SID\{D7CC80D4-376C-4586-B023-4F35C2CEB28E}
Type=Registry

[DeskMateTahni.zip]
File=ac3_0010.exe
Product=DeskMate.Tahni
Description=Ejecutable
Date=29/10/2006 21:55:00
Destination=c:\
Type=File

[MicrosoftWindowsSecurityCenterAntiVirusDisableNoti fy.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Microsoft.WindowsSecurityCenter.AntiVirusD isableNotify
Description=Configuración
Date=18/11/2006 09:11:07
Destination=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Security Center\AntiVirusDisableNotify!=dword:0
Type=Registry

[MicrosoftWindowsSecurityCenterAntiVirusOverride.zi p]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Microsoft.WindowsSecurityCenter.AntiVirusO verride
Description=Configuración
Date=18/11/2006 09:11:07
Destination=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Security Center\AntiVirusOverride!=dword:0
Type=Registry

[MicrosoftWindowsSecurityCenterdisabled.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Microsoft.WindowsSecurityCenter_disabled
Description=Configuración
Date=29/10/2006 21:55:09
Destination=HKEY_LOCAL_MACHINE\SYSTEM\CurrentContr olSet\Services\wscsvc\Start!=W=2
Type=Registry

[MicrosoftWindowsSecurityCenterdisabled1.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Microsoft.WindowsSecurityCenter_disabled
Description=Configuración
Date=31/10/2006 03:16:03
Destination=HKEY_LOCAL_MACHINE\SYSTEM\CurrentContr olSet\Services\wscsvc\Start!=W=2
Type=Registry

[MicrosoftWindowsSecurityCenterdisabled2.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Microsoft.WindowsSecurityCenter_disabled
Description=Configuración
Date=18/11/2006 09:11:10
Destination=HKEY_LOCAL_MACHINE\SYSTEM\CurrentContr olSet\Services\wscsvc\Start!=W=2
Type=Registry

[MicrosoftWindowsSecurityCenterFirewallDisabled.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Microsoft.WindowsSecurityCenter.FirewallDi sabled
Description=Configuración
Date=18/11/2006 09:11:08
Destination=HKEY_LOCAL_MACHINE\SOFTWARE\Policies\M icrosoft\windowsfirewall\standardprofile\enablefir ewall!=dword:1
Type=Registry

[MicrosoftWindowsSecurityCenterFirewallDisabled1.zi p]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Microsoft.WindowsSecurityCenter.FirewallDi sabled
Description=Configuración
Date=18/11/2006 09:11:08
Destination=HKEY_LOCAL_MACHINE\SOFTWARE\Policies\M icrosoft\windowsfirewall\domainprofile\enablefirew all!=dword:1
Type=Registry

[MicrosoftWindowsSecurityCenterFirewallDisableNotif y.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Microsoft.WindowsSecurityCenter.FirewallDi sableNotify
Description=Configuración
Date=18/11/2006 09:11:09
Destination=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Security Center\FirewallDisableNotify!=dword:0
Type=Registry

[MicrosoftWindowsSecurityCenterFirewallOverride.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Microsoft.WindowsSecurityCenter.FirewallOv erride
Description=Configuración
Date=18/11/2006 09:11:09
Destination=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Security Center\FirewallOverride!=dword:0
Type=Registry

[MicrosoftWindowsSecurityCenterSPUpdate.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Microsoft.WindowsSecurityCenter.SP2Update
Description=Configuración
Date=18/11/2006 09:11:10
Destination=HKEY_LOCAL_MACHINE\SOFTWARE\Policies\M icrosoft\Windows\WindowsUpdate\DoNotAllowXPSP2!=dw ord:0
Type=Registry

[MicrosoftWindowsSecurityCenterUpdateDisableNotify. zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Microsoft.WindowsSecurityCenter.UpdateDisa bleNotify
Description=Configuración
Date=18/11/2006 09:11:10
Destination=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Security Center\UpdatesDisableNotify!=dword:0
Type=Registry

[MicrosoftWindowsSecurityInternetExplorer.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Microsoft.Windows.Security.InternetExplore r
Description=Configuración
Date=29/10/2006 21:55:08
Destination=HKEY_USERS\.DEFAULT\Software\Microsoft \Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_ LOCKDOWN\iexplore.exe!=W=1
Type=Registry

[MicrosoftWindowsSecurityInternetExplorer1.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Microsoft.Windows.Security.InternetExplore r
Description=Configuración
Date=06/11/2006 01:04:38
Destination=HKEY_USERS\S-1-5-21-1292428093-1563985344-842925246-1000\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_ LOCKDOWN\iexplore.exe!=W=1
Type=Registry

[NetworkMonitor.zip]
File=uninstall_nmon.vbs
Product=Network Monitor
Description=Datos
Date=29/10/2006 21:55:09
Destination=C:\WINDOWS\
Type=File

[NetworkMonitor1.zip]
File=*
Product=Network Monitor
Description=Carpeta de programa
Date=29/10/2006 21:55:10
Destination=C:\Documents and Settings\Default User\Datos de programa\NetMon\
Type=Directory

[NetworkMonitor2.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Network Monitor
Description=Servicio del sistema
Date=29/10/2006 21:55:10
Destination=HKEY_LOCAL_MACHINE\SYSTEM\CurrentContr olSet\Services\Network Monitor
Type=Registry

[NetworkMonitor3.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Network Monitor
Description=Servicio del sistema
Date=29/10/2006 21:55:11
Destination=HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00 1\Services\Network Monitor
Type=Registry

[NetworkMonitor4.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Network Monitor
Description=Servicio del sistema
Date=29/10/2006 21:55:11
Destination=HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00 2\Services\Network Monitor
Type=Registry

[SallityBadcro.zip]
File=wdmfmc32.dll
Product=Sallity.Badcro
Description=Biblioteca
Date=18/11/2006 09:11:11
Destination=C:\WINDOWS\SYSTEM32\
Type=File

[SmitfraudC.zip]
File=kybrdff_e41.exe
Product=Smitfraud-C.
Description=Archivo de programa
Date=29/10/2006 21:55:12
Destination=C:\\
Type=File

[SmitfraudC1.zip]
File=drsmartload2.dat
Product=Smitfraud-C.
Description=Datos
Date=29/10/2006 21:55:21
Destination=c:\windows\
Type=File

[SmitfraudC2.zip]
File=drsmartload.exe
Product=Smitfraud-C.
Description=Ejecutable
Date=29/10/2006 21:55:22
Destination=c:\
Type=File

[SmitfraudC3.zip]
File=dfndrff_e41.exe
Product=Smitfraud-C.
Description=Ejecutable
Date=29/10/2006 21:55:31
Destination=c:\
Type=File

[SmitfraudC4.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Smitfraud-C.
Description=Configuración
Date=29/10/2006 21:55:42
Destination=HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{ 645FF040-5081-101B-9F08-00AA002F954E}
Type=Registry

[SmitfraudC5.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Smitfraud-C.
Description=Configuración
Date=29/10/2006 21:55:43
Destination=HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{ 06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
Type=Registry

[SmitfraudC6.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Smitfraud-C.
Description=Configuración de autoejecución (keyboard)
Date=29/10/2006 21:55:43
Destination=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run\keyboard
Type=Registry

[SmitfraudCToolbar.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Smitfraud-C.Toolbar888
Description=Configuración
Date=06/11/2006 01:04:39
Destination=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Winlogon\Notify\fcyyx
Type=Registry

[SmitfraudCToolbar1.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Smitfraud-C.Toolbar888
Description=Configuración
Date=06/11/2006 07:00:33
Destination=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Winlogon\Notify\fcyyx
Type=Registry

[SmitfraudCToolbar2.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Smitfraud-C.Toolbar888
Description=Configuración
Date=08/11/2006 00:42:40
Destination=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Winlogon\Notify\fcyyx
Type=Registry

[WinPE.zip]
File=C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\sbRecovery.reg
Product=Win23.PE
Description=Configuración
Date=18/11/2006 09:11:12
Destination=HKEY_LOCAL_MACHINE\SYSTEM\CurrentContr olSet\Services\pe386
Type=Registry

[SallityBadcro1.zip]
File=wdmfmc32.dll_tobedeleted
Product=Sallity.Badcro
Description=Biblioteca
Date=18/11/2006 11:51:53
Destination=C:\WINDOWS\SYSTEM32\
Type=File

[SallityBadcro2.zip]
File=wdmfmc32.dll
Product=Sallity.Badcro
Description=Biblioteca
Date=18/11/2006 11:51:54
Destination=C:\WINDOWS\SYSTEM32\
Type=File

[SallityBadcro3.zip]
File=wdmfmc32.dll_tobedeleted
Product=Sallity.Badcro
Description=Biblioteca
Date=18/11/2006 12:21:07
Destination=C:\WINDOWS\SYSTEM32\
Type=File

[SallityBadcro4.zip]
File=wdmfmc32.dll_tobedeleted_tobedeleted
Product=Sallity.Badcro
Description=Biblioteca
Date=18/11/2006 14:35:45
Destination=C:\WINDOWS\SYSTEM32\
Type=File

[SallityBadcro5.zip]
File=wdmfmc32.dll
Product=Sallity.Badcro
Description=Biblioteca
Date=18/11/2006 14:35:46
Destination=C:\WINDOWS\SYSTEM32\
Type=File

Efectivamente, intenté eliminar manualmente a esa dll y no se puede por estar en memoria. Entonces intenté con el Killbox, pero faltaba la siguiente: advpack.dll y no arrancaba. (Tal vez fue eliminada por los antispywares).

Pasé nuevamente el RegSeeker varias veces, ya que se habían vuelto a generar 189 entradas eliminables.
Se resisten a eliminarse las relativas a ctfmom.exe (en Run y en Run services)supuestamente relativas al Firewall de Windows. Las elimino de las Entradas de Arranque, pero igual vuelven a aparecer, como las Osa9 del inicio de Office.

El Spysweeper indicó:
Elemento Tipo Indicios
Command Adware 3
cws iesprt Adware 1 cws_iesprt
Belnk cookie Spy Cookie 2
go.com cookie " 2
servlet cookie " 1
price grabber " 1
2o7 net cookie " 2
webtrends cookie " 1
xiti cookie " 1

También volví a pasar el Clean Disk para eliminar cookies y el Vundofix, pero este tampoco volvió a encontrarlo.

Volví a reparar el W2K sobre la instalación anterior. Nuevamente 4 ficheros no se copiaron bien (los mismos de la anterior oportunidad, a pesar de haber limpiado bien el CD: comdlg32.dll; irprops.cpl; netplwiz.dll y regwiz.dll)

Entonces intenté con el Killbox eliminar la dll (la debe usar el virus para referencia de páginas antivirus y demás). Pero no hay caso. De ninguna forma consigo eliminarla.

Me conecto entonces con el sitio de Kasperski. Lo primero que hago es testear esta wdmfmc32.dll y salta que es efectivamente: Virus.Win32.Sallity.n

Intenté encontrar una herramienta específica para este, pero parece que ellos no la tienen.

Conseguí bajar la versión 6.0 del Antivirus, pero no la pude instalar, porque necesito conseguir una versión más reciente del Windows Installer. Fui otra vez al sitio de Windows para tratar de conseguirla, pero ya la máquina estaba muy lenta. Casi inoperable. La tranmisión en background seguía a elevado ritmo. Antes de cortar se habían TRANSMITIDO más de 11 MB.
Antes de cortar, corrí el HJT, y esto es lo que reportó:

Logfile of HijackThis v1.99.1
Scan saved at 23:35:23, on 21/11/2006
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\regsvc.exe
C:\WINDOWS\system32\MSTask.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\WINDOWS\System32\ctfmom.exe
c:\program files\MSN Apps\Updater\01.03.0000.1005\es-la\msnappau.exe
C:\WINDOWS\System32\mdm.exe
C:\WINDOWS\System32\Windowsfixsystem.exe
C:\WINDOWS\Explorer.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SSU.EXE
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.5000.1021\ES-LA\MSNTB.DLL
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.5000.1021\ES-LA\MSNTB.DLL
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Archivos de programa\CA-85UR\ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKLM\..\Run: [Windows Update Firewall System] ctfmom.exe
O4 - HKLM\..\Run: [Windows Update] Windowsfixsystem.exe
O4 - HKLM\..\RunServices: [Windows Update Firewall System] ctfmom.exe
O4 - HKLM\..\RunServices: [Windows Update] Windowsfixsystem.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/spanish/msn
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.microsoft.com/spanish/msn
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1164158681386
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CS4\Services\Tcpip\..\{1E94054D-CE7B-4BF2-A913-D6EAE4223605}: NameServer = 200.45.191.35 200.45.191.40
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AVG Anti-Spyware Guard - Unknown owner - (no file)
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
O23 - Service: Windows taskmanager - Unknown owner - C:\WINDOWS\taskmgr.exe

Hasta acá llegué anoche. Espero que haya material suficiente para definir esto.

Desde ya muchas gracias.

Antes de continuar vamos a probar una cosa.

Anda a la carpeta dondo esta instalado el HijackThis.exe en:

C:\Archivos de programa\HJT\HijackThis.exe

y cambiale el nombre al .exe por "analyse.exe"

Para luego con todos los programas cerrados generas un nuevo reporte y lo dejas en este mensaje.

SAlu2

Hola. Hice lo que me pediste: Renombré el HijackThis.exe por analyse.exe. Automáticamente se adecuó el Acceso Directo en el Escritorio, al nuevo nombre.
Lo corrí y obtuve el Log.
Te comento que estando en conexión a Internet, se me hace imposible prácticamente llegar a la página del foro y escribir mi informe: una porque la máquina se pone muy lenta, y otra porque al cabo de unos minutos se resetea: Se pone una pantalla azul que dice:
STOP
KMODE_EXCEPTION_NOT HANDLED
Volcado de memoria física al disco.
Y va mostrando el porcentaje de cumplimiento hasta llegar al 100% y entonces se reinicia.
Además verifiqué que la transmisión de datos sigue a alto ritmo: en unos 9 min. Transmitió unos 4 MB antes de cortarse.
Es por esto del reseteo que decidí escribir este informe fuera de línea.
Además, tomé algunas acciones por mi cuenta, a ver si conseguía evitar esos re-inicios.
Con el HJT, eliminé las 04-HKLM\... relativas al windowsfixsystem.exe; y las 09-relativas a \web\related.htm, estas últimas porque fueron señaladas por el Spwsweeper como adware.
Y con el Killbox, eliminé al re-inicio, el c:\Windows\system32\windowsfixsystem.exe

De todos modos, no tuve éxito, porque el problema persiste.
Además, ya en conexión, mientras se están abriendo las páginas del Foro, aparece una ventanita de Error en tiempo de Ejecución, y pregunta si deseo depurarlo. Al contestar que sí, me abre el debugger y me resalta la línea cuestionada. Éste señala “urchin Tracker”. Y ocurre varias veces, en distintas líneas. Mi interpretación es que trata de instalarse en el script algún espía de rastreo. (Nunca le dí eliminar esa línea. No tengo experiencia con el debugger)

El Log de HijackThis obtenido en conexión, es el siguiente:
Logfile of HijackThis v1.99.1
Scan saved at 21:59:35, on 25/11/2006
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\regsvc.exe
C:\WINDOWS\system32\MSTask.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\Explorer.exe
C:\Archivos de programa\CA-85UR\ADSL\CnxDslTb.exe
C:\WINDOWS\System32\ctfmom.exe
C:\WINDOWS\System32\Windowsfixsystem.exe
C:\Archivos de programa\HJT\analyse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.5000.1021\ES-LA\MSNTB.DLL
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.5000.1021\ES-LA\MSNTB.DLL
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] "mobsync.exe" /logon
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Archivos de programa\CA-85UR\ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKLM\..\Run: [Windows Update Firewall System] ctfmom.exe
O4 - HKLM\..\Run: [Windows Update] Windowsfixsystem.exe
O4 - HKLM\..\RunServices: [Windows Update Firewall System] ctfmom.exe
O4 - HKLM\..\RunServices: [Windows Update] Windowsfixsystem.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htmO14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/spanish/msn
O14 - IERESET.INF: MS_START_PAGE