Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola!:

Antes que nada les agradezco por su colaboración y ayuda hacia los compañeros internautas que, como su servidor, han sufrido el ataque de estos programas abusivos.

Les cuento que ya tiene poco más de un mes que en mi computadora se inicia automáticamente el iexplore.exe desde que la prendo, ya sea en modo normal o a prueba de fallos, y no he conseguido detener o cerrar tal archivo por más que intente (Aún con el killbox).

El día de hoy tras intentar de varias meneras deshacerme de archivos malignos en el sistema, esto es, ejecutando el Ad-aware, RegSeeker, Antispyware Mc Afee, Antivirus Mc Afee (Todos actualizados) y realizar paso a paso las instrucciones sugeridas en otras páginas web para solucionar problemas similares, ocurre que en ocasiones me salen supuestas alertas del windows acerca de archivos infectados, por lo que recomiendan la exploración del sistema y la descarga del programa DriveCleaner.

Pero eso no es lo peor, sino que, en ocasiones, se bloquea la navegación, como si quedara desconectada la conexión a internet, aparece la ventana de conexión y se modifica el aspecto visual de la barra de inicio y las carpetas del windows.

Al inicio del problema (Hace como un mes), además, no podía iniciar el administrador de tareas y el fondo del escritorio quedó en azúl, pero, gracias a un mensaje de ayuda a otra persona en esta web, logré hacerlo funcionar. El fondo azul desapareció luego de hacerle una limpieza al registro con el RegSeeker.

Por cierto, cuando abro alguna página, al ejecutar el administrador de tareas, me aparecen en él dos procesos iexplore.exe, uno con el nombre de usuario Administrador y el otro con System.

Es por lo anterior que, si alguien desea cooperar y tiene una idea de cómo solucionar y evitar los problemas mencionados, se los agradezco desde ahora.

Gracias!

Hola contiveroscuba te doy la bienvenida al foro :

Es nesesario que vallas a windowsupdate.com para actualizar tu sistema.

Posteriormente sigue Los 11 Pasos fundamentales de una buena eliminación(los scan del paso 7 realizalos con Ewido y Kaspersky)

Pega aquí el reporte que te genere Kaspersky y tambien tu log de HijackThis .

Para ejecutar HijackThis:

Descarga Hijack This , guardarlo en archivos del programa, descomprimelo y dale doble click al icono y le das click a Do a system scan and save log.

Si tienes dudas de como generar un log , mira este flash

Salu2...

Hola de Nuevo!

Gracias por tu interes Astareth y perdón por la tardanza. Te cuento que he tratado de seguir los pasos que me indicaste, a lo que resultó que:

a) El Spybot localizó varios archivos infectados con el nombre de "Smitfraud-C", pero no puede hacer nada para eliminarlos.

b) El el séptimo paso, de los 11 recomendados, lo realice con el Kaspersky y el Ewido.

---El primero me detectó varios archivos infectados, aunque no los pudo eliminar (Tratare de agregar aquí los resultados del escaneo);

---Por su parte, el Ewido sólo avanzaba hasta una tercera parte del escaneo y luego se cerraba la ventana y tenía que volver a empezar, es decir, en ninguna ocasión terminó de revisar mi sistema aunque también detectó varios archivos infectados.

He aquí el resultado del escaneo del Kaspersky:

-----------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
miércoles, 22 de noviembre de 2006 12:39:11
Sistema operativo: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.0
Ultima actualización: 22/11/2006
Registros en la base antivirus: 229999


Configuración del análisis
Analizar usando las siguientes bases standard
Analizar archivos verdadero
Analizar bases de correo verdadero

Objetivo a analizar Áreas críticas
C:\WINDOWS
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\

Estadísticas
Número de objeros analizados 25177
Virus encontrados 6
Objetos infectados 6 / 0
Objetos sospechosos 0
Duración del análisis 00:27:16

Bombre del objeto infectado Nombre del virus Última acción
C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\systemprofile\Configura ción local\Historial\History.IE5\index.dat Object is locked saltado

C:\WINDOWS\system32\config\systemprofile\Configura ción local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\WINDOWS\system32\config\systemprofile\Cookies\i ndex.dat Object is locked saltado

C:\WINDOWS\system32\config\DEFAULT Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SOFTWARE Object is locked saltado

C:\WINDOWS\system32\config\SYSTEM Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\rpccd.dll Object is locked saltado

C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\divx.dll Infectados: Trojan-Downloader.Win32.PassAlert.v saltado

C:\WINDOWS\system\ctfmon.exe Infectados: Trojan-Downloader.Win32.PassAlert.w saltado

C:\WINDOWS\Temp\autoexic.bat Infectados: Trojan.BAT.KillAV.du saltado

C:\WINDOWS\Temp\win54B6.tmp Infectados: Trojan.Win32.Agent.oh saltado

C:\WINDOWS\Temp\sqlite_n255Oz4C4R8udco Object is locked saltado

C:\WINDOWS\Temp\sqlite_bP7R8PqzA0Ot5BL Object is locked saltado

C:\WINDOWS\Temp\sqlite_EXh0x7RQDBgrIGT Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\Debug\oakley.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\comdlg64.dll Infectados: Email-Worm.Win32.Locksky.aq saltado

C:\WINDOWS\ModemLog_HSP56 MR (VIA).txt Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado

C:\WINDOWS\userinit.exe Infectados: Trojan.Win32.Pakes saltado

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\AVP261.tmp Object is locked saltado

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\AVP262.tmp Object is locked saltado

Análisis completado.
------------------------------------------------



A continuación agrego el resultado del testeo con el HijackThis:




------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 08:03:36 p.m., on 24/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
c:\archiv~1\mcafee\mcafee antispyware\massrv.exe
c:\archivos de programa\mcafee.com\agent\mcdetect.exe
c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\pctspk.exe
C:\ARCHIV~1\mcafee.com\agent\McUpdate.exe
C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe
C:\archiv~1\mcafee\MCAFEE~1\masalert.exe
c:\archiv~1\mcafee.com\vso\mcvsescn.exe
C:\WINDOWS\System32\svchost.exe
C:\ARCHIV~1\PANICW~1\POP-UP~1\PSFREE.EXE
C:\WINDOWS\system\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe
C:\Archivos de programa\Winamp\winamp.exe
c:\archivos de programa\mcafee.com\agent\mcagent.exe
C:\Archivos de programa\Windows NT\Accesorios\wordpad.exe
C:\Archivos de programa\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - {CE7152E9-3F3A-B52E-2344-85736F9BD08F} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A1E1392C-020E-4728-9779-CFFF4CC4E3CE} - (no file)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FLASHGET\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=120206 serial=DR12CRG-9489142-TWM lang=ES
O4 - HKLM\..\Run: [sysobj.exe] sysobj.exe
O4 - HKLM\..\Run: [ftbar] keybdll.exe
O4 - HKLM\..\Run: [MON76234] backd.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\ARCHIV~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [OASClnt] C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [_AntiSpyware] c:\archiv~1\mcafee\MCAFEE~1\masalert.exe
O4 - HKLM\..\Run: [sysvx.exe] C:\WINDOWS\System32\sysvx.exe
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\ARCHIV~1\PANICW~1\POP-UP~1\PSFREE.EXE"
O4 - HKCU\..\Run: [sysmon12] powerdll.exe
O4 - HKCU\..\Run: [TRPT] cmon14.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system\ctfmon.exe
O4 - HKCU\..\Run: [shell] "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00003.exe"
O4 - HKCU\..\Run: [_ctcp] DTOURS.exe
O4 - HKCU\..\Run: [userinit.exe] C:\WINDOWS\userinit.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\YAHOO!\COMMON\yhexbmesmx.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\YAHOO!\COMMON\yhexbmesmx.dll
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O12 - Plugin for .kar: C:\Archivos de programa\Internet Explorer\PLUGINS\npvmidi.dll
O12 - Plugin for .mid: C:\Archivos de programa\Internet Explorer\PLUGINS\npvmidi.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,90/mcinsctl.cab
O16 - DPF: {7D1E9C49-BD6A-11D3-87A8-009027A35D73} (Yahoo! Audio UI1) - http://chat.yahoo.com/cab/yacsui.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,23/mcgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{50B7CE9E-12B7-4412-9070-3635445C846F}: NameServer = 69.50.176.158,85.255.112.8
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - (no CLSID) - (no file)
O18 - Filter: text/plain - {C81CDDF1-1A0C-46AA-9775-07258B73BFBE} - (no file)
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
O20 - Winlogon Notify: rpccd - C:\WINDOWS\System32\rpccd.dll
O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documentos\Settings\winsys2f.dll
O21 - SSODL: VsOwVbbgB - {42210856-E88B-A2FC-E98D-828C6AA686FD} - (no file)
O23 - Service: McAfee AntiSpyware Service - McAfee, Inc. - c:\archiv~1\mcafee\mcafee antispyware\massrv.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\ARCHIV~1\McAfee\SPAMKI~1\MSKSrvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\ARCHIV~1\ARCHIV~1\SONYSH~1\AVLib\Sptisrv.exe

------------------------------------------------


De nuevo les doy las gracias por la atención que me han prestado.

Hola :

Tu PC esta muy infectado

Primero que nada Actualiza tu windows al Service Pack2 , puedes descargarlo desde aquí , tambien ve a windows Update para bajar todas las actualizaciones que te hagan falta , actualiza también tu navegador IExplorer.

Desintala:

• FlashGet (a menos de que sea la versión mas actual)
• Wareout ( o algún antispyware que se encuentre en esta lista)

Posteriormente sigue estas instrucciones:

Paso 1- Apaga el "Restaurar Sistema"

Paso 2- Descarga estas herramientas pero no las ejecutes aun:

• DelPSGuard
• Avg Antispyware (instalalo y actualizalo)
• SpyBot Search and destroy (instalalo y actualizalo)
• WinSock Xp Fix

Paso 3- Reinicia e inicia en "Modo a prueba de fallos" (modo seguro)

Paso 4- Con todos los programas cerrados ejecuta HijackThis y dale "FIX Cheked" a estas entradas:


R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R3 - URLSearchHook: (no name) - {CE7152E9-3F3A-B52E-2344-85736F9BD08F} - (no file)

O2 - BHO: (no name) - {A1E1392C-020E-4728-9779-CFFF4CC4E3CE} - (no file)

O4 - HKLM\..\Run: [sysobj.exe] sysobj.exe

O4 - HKLM\..\Run: [ftbar] keybdll.exe

O4 - HKLM\..\Run: [MON76234] backd.exe

O4 - HKLM\..\Run: [sysvx.exe] C:\WINDOWS\System32\sysvx.exe

O4 - HKCU\..\Run: [sysmon12] powerdll.exe

O4 - HKCU\..\Run: [TRPT] cmon14.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system\ctfmon.exe

O4 - HKCU\..\Run: [shell] "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00003.exe"

O4 - HKCU\..\Run: [_ctcp] DTOURS.exe

O4 - HKCU\..\Run: [userinit.exe] C:\WINDOWS\userinit.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O17 - HKLM\System\CCS\Services\Tcpip\..\{50B7CE9E-12B7-4412-9070-3635445C846F}: NameServer = 69.50.176.158,85.255.112.8

O18 - Filter: text/html - (no CLSID) - (no file)

O18 - Filter: text/plain - {C81CDDF1-1A0C-46AA-9775-07258B73BFBE} - (no file)

O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll

O20 - Winlogon Notify: rpccd - C:\WINDOWS\System32\rpccd.dll

O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documentos\Settings\winsys2f.dll

O21 - SSODL: VsOwVbbgB - {42210856-E88B-A2FC-E98D-828C6AA686FD} - (no file)



Paso 5- Sin reiniciar con el programa "KillBox" elimina estos archivos:


C:\WINDOWS\system32\divx.dll

C:\WINDOWS\system\ctfmon.exe <-- No confundir con el que se encuentra en C:\windows\system32

C:\WINDOWS\Temp\autoexic.bat

C:\WINDOWS\Temp\win54B6.tmp

C:\WINDOWS\comdlg64.dll

C:\WINDOWS\userinit.exe <-- No confundir con el que se encuentra en C:\windows\system32

sysobj.exe

keybdll.exe

backd.exe

C:\WINDOWS\System32\sysvx.exe

powerdll.exe

cmon14.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00003.exe

DTOURS.exe

C:\WINDOWS\System32\rpcc.dll

C:\WINDOWS\System32\rpccd.dll

C:\Documents and Settings\All Users\Documentos\Settings\winsys2f.dll

Paso 6- Ejecuta las herramientas de a una:

• DelPSGuard.exe
• Avg Antispyware
• SpyBot Search and destroy
• WinSock Xp Fix

Paso 7- Usa Disk Cleaner para limpiar cookies , temporales del sistema , internet y cache. Usa RegSeeker para limpiar el registro de Windows.(paso 9 de su manual )...pasalo hasta que ya no te salga nada por borrar

Paso 8- Reinicia y pasas de nuevo WinSock Xp Fix , posteriormente realiza un scan online con "Kaspersky"

Tu analisis anterior de Kaspersky indica que solo reviso areas criticas , esta vez pasalo en todo el PC (mycomputer)

Pega aquí tus reportes de DelPsguard , Kaspersky y un nuevo log.

Salu2..

Hola Astareth!:

Saludos .

No pensé que fuera tan grave la situación, pero voy a seguir paso a paso tus indicaciones y espero comentarte en esta semana de los avances obtenidos al final del proceso.

Gracias una y mil veces más!!!

Ok , estamos al pendiente

Salu2

¡¡¡¡¡¡¡ MIL + DIEZ GRACIAS !!!!!!!

¡¡¡¡ PROBLEMA RESUELTO !!!!

Saludos a todos los colaboradores, visitantes, etc., en especial a Astareth!!

Estimada Astareth, traté de seguir todos los pasos que me recomendaste, solo que no fue posible actualizar el Internet Explorer, Windows y el AVG Anti-Spayware, debido a que la conexión quedó prácticamente bloqueada hasta antes de realizar el proceso indicado. Sí pude bajar e instalar el Service Pack 2, pero luego no fue posible actualizar nada más.

Los demás pasos los realicé al pie de la letra, aunque algunos archivos no los encontré en el disco duro, así como algunas entradas en el registro; todo lo demás todo resultó bien.

Ya no tengo el molesto iexplorer.exe que se iniciaba desde el principio, así como varios archivos que no se dejaban eliminar; ni las molestas ventanas emergentes que salían sin llamarlas. El servicio de internet está normal, sin problemas, ya no se cambia más la apariencia del windows.

En seguida agrego los resultados del DelPSGuard, Hijackthis y Kaspersky, en ese orden:


----------------------------------
----------------------------------



DelPSGuard v 4.2.9
by www.ForoSpyware.com
Escaneo a las: 22:44:20.54, 29/11/2006
SO: Microsoft Windows XP [Versi¢n 5.1.2600]


»»»»»»»»»»»» Carpetas y Archivos infectados »»»»»»»»»»»»


»»»»»»»»»»»» Programas Malwares »»»»»»»»»»»»


»»»»»»»»»»»» FIN »»»»»»»»»»»»



----------------------------------
----------------------------------



Logfile of HijackThis v1.99.1
Scan saved at 02:58:18 a.m., on 03/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
c:\archivos de programa\mcafee.com\agent\mcdetect.exe
c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
c:\ARCHIV~1\mcafee.com\vso\OasClnt.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
c:\archivos de programa\mcafee.com\vso\mcvsshld.exe
c:\archivos de programa\mcafee.com\agent\mcagent.exe
c:\archiv~1\mcafee.com\vso\mcvsescn.exe
C:\WINDOWS\system32\svchost.exe
C:\ARCHIV~1\mcafee.com\mps\mscifapp.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Windows NT\Accesorios\WORDPAD.EXE
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: McBrwHelper Class - {227B8AA8-DAF2-4892-BD1D-73F568BCB24E} - c:\archivos de programa\mcafee.com\mps\mcbrhlpr.dll
O2 - BHO: McAfee PopupKiller - {3EC8255F-E043-4cae-8B3B-B191550C2A22} - c:\archivos de programa\mcafee.com\mps\popupkiller.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=121706 serial=DR12CRG-9489142-TWM lang=ES
O4 - HKLM\..\Run: [VSOCheckTask] "C:\ARCHIV~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [OASClnt] C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [McRegWiz] C:\ARCHIV~1\McAfee.com\Agent\mcregwiz.exe /autorun
O4 - HKLM\..\Run: [VirusScan Online] C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\ARCHIV~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MPSExe] c:\ARCHIV~1\mcafee.com\mps\mscifapp.exe /embedding
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\ARCHIV~1\PANICW~1\POP-UP~1\PSFREE.EXE"
O4 - HKCU\..\Run: [MSKAGENTEXE] C:\ARCHIV~1\McAfee\SPAMKI~1\MSKAgent.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\YAHOO!\COMMON\yhexbmesmx.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\YAHOO!\COMMON\yhexbmesmx.dll
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .kar: C:\Archivos de programa\Internet Explorer\PLUGINS\npvmidi.dll
O12 - Plugin for .mid: C:\Archivos de programa\Internet Explorer\PLUGINS\npvmidi.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,90/mcinsctl.cab
O16 - DPF: {7D1E9C49-BD6A-11D3-87A8-009027A35D73} (Yahoo! Audio UI1) - http://chat.yahoo.com/cab/yacsui.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,23/mcgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F758C9A6-4DC1-4EA4-9251-26265B45CA06}: NameServer = 69.50.184.84 195.225.176.37
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\ARCHIV~1\ARCHIV~1\SONYSH~1\AVLib\Sptisrv.exe



----------------------------------
----------------------------------



KASPERSKY ONLINE SCANNER REPORT
Saturday, December 02, 2006 2:31:25 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.84.0
Kaspersky Anti-Virus database last update: 2/12/2006
Kaspersky Anti-Virus database records: 233423


Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
A:\
C:\
D:\
E:\
F:\
G:\
H:\

Scan Statistics
Total number of scanned objects 126395
Number of viruses found 0
Number of infected objects 0 / 0
Number of suspicious objects 0
Duration of the scan process 02:18:58

Infected Object Name Virus Name Last Action
C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\DEFAULT Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SOFTWARE Object is locked skipped

C:\WINDOWS\system32\config\SYSTEM Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\h323log.txt Object is locked skipped

C:\WINDOWS\Temp\sqlite_ezS6xbppLqujVun Object is locked skipped

C:\WINDOWS\Temp\sqlite_cgOzOmiKeZhlo2O Object is locked skipped

C:\WINDOWS\Temp\sqlite_OgOWOp9itN7xTyl Object is locked skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\Sti_Trace.log Object is locked skipped

C:\WINDOWS\wiaservc.log Object is locked skipped

C:\WINDOWS\wiadebug.log Object is locked skipped

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

C:\WINDOWS\ModemLog_HSP56 MR (VIA).txt Object is locked skipped

C:\WINDOWS\WindowsUpdate.log Object is locked skipped

C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked skipped

C:\Documents and Settings\All Users\Datos de programa\McAfee.com\VSO\OASLogs\OAS.log Object is locked skipped

C:\Documents and Settings\All Users\Datos de programa\McAfee\AntiSpyware\Data\masdata.dat Object is locked skipped

C:\Documents and Settings\All Users\Datos de programa\McAfee\AntiSpyware\Data\masevents.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\Administrador\Configuración local\Temp\AVP284.tmp Object is locked skipped

C:\Documents and Settings\Administrador\Configuración local\Temp\AVP285.tmp Object is locked skipped

C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\Administrador\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\Administrador\ntuser.dat Object is locked skipped

Scan process completed.



----------------------------------
----------------------------------



Como parece, ya terminó el problema (Mis respetos ).

No me queda más que seguir agradecido con este foro por la significativa ayuda que nos ha brindado a su servidor y varias personas más. Los felicito por la labor que realizan y ojalá que sea posible que se continúe con este servicio social por mucho tiempo más.

Les deseo lo mejor en lo que hagan!!

¡¡ GRACIAS !!