Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Bueno, esta vez es un problema con un usuario que dice que cada vez que abre el internet explorer o entra "solamente" a la página de yahoo! se infecta con algún virus. No puedo verificar si no está entrando a alguna otra página web, pero me parece extraño que tras haber limpiado varias veces su pc con Norton Antivirus, mantener actualizadas las definiciones, pasar Ad - Aware varias veces, funciona bien algunos días y luego empieza a colgarse la pc después de navegar por internet (tiene conexion por modem), a funcionar lenta y debe reiniciar muy seguido. Su pc tiene W2000.

Acá va el ultimo log que pude obtener: el archivo que me parece raro y que ya eleiminé en varias ocasiones es el que aparece en esta línea, no se cómo es que vuelve a aparecer:
O4 - HKCU\..\RunServices: [Compaq Print Fax] cpqa1000.exe

Logfile of HijackThis v1.99.1
Scan saved at 15:29:51, on 14/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\ARCHIV~1\SYMANT~1\VPTray.exe
C:\WINNT\system32\internat.exe
C:\MSSQL7\Binn\sqlmangr.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\ARCHIV~1\MICROS~2\Office\MSACCESS.EXE
C:\programita virus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com.ar/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\VPTray.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\RunServices: [Compaq Print Fax] cpqa1000.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O4 - Global Startup: Service Manager.lnk = C:\MSSQL7\Binn\sqlmangr.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/spanish/msn
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.microsoft.com/spanish/msn
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct2_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINNT\system32\rpcclient.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Archivos de programa\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINNT\system32\cfmon.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Distributed Link Tracking Server (TrkWksrv) - Unknown owner - C:\WINNT\system32\TrkWksrv.exe (file missing)

Gracias!

Para empezar debes actualizar el navegador de Internet, es muy viejo y es lógico que entren virus continuamente, si no lo haces no podemos continuar.
Luego, sigue estos pasos:

1 - Con todos los programas cerrados, ejecuta HijackThis, marca las siguientes entradas y haces FIX:

O4 - HKCU\..\RunServices: [Compaq Print Fax] cpqa1000.exe <<- Esta entrada corresponde al Print Fax de Compaq, si no lo tienes instalado, bórrala.

2 - Escanea el sistema con un par de antivirus, siguiendo los pasos que ahí aparecen.

3 - Luego limpia el registro con un programa como RegSeeker por ejemplo.

4 - Reinicia en "Modo a prueba de fallos" o "Modo seguro" y escanea el equipo con Ad-Aware SE y Spybot Search&Destroy.

5 - Usa el Disk Cleaner para limpiar cookies y temporales.

6 - Reinicia y nos cuentas los resultados.

Saludos.

Hola, el problema fue solucionado, gracias!