1° q todo saludar a todas las personas q ayudan a solucionar el problema de nosotros... bueno como he dicho tengo un problema q no he podido solucionar de ninguna forma: Tengo en el PC el maldito Home Search Asisstent y unos troyanos q me los avisa el norton, q ademas enlentecen el trabajo del computador (aparece "uso de CPU 100%" en el Adm. de Tareas). Lo 1° q intenté ANTIVIRUS = nada. Después probé con AntiSpyware (Ad-Aware y Spybot S&D) = nada. Luego, los 2 (Aantivirus y Spyware) en modo a prueba de errores = nada. Ahí encontré esta web e intenté con "HS Remove" = nada. Po último intenté el sistema de Desactivar el sistema, correr en modo a prueba de fallos, ahi limpiar con Ad-Aware y el Spybot S&D y despues scaneaba con el norton q tengo instalado, despues el "disk cleaner".... y en el paso de correr un antivirus online me quedaba la grande, porque como los antivirus trabajan sólo con IE, al momento de conectarme me empezaban a salir los mensajes del norton del TROYANO y los cambios producidos por el HSA, los redireccionamientos y todo eso = al final no era capaz de escanear con el AV online.... Bueno ese es mi caso... ojalá y me puedan ayudar desde ya gracias a todos por su tiempo y disposicion ESTE ES MI LOG


Logfile of HijackThis v1.99.1
Scan saved at 18:40:10, on 29-06-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Compaq\Easy Access Button Support\StartEAK.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\ARCHIV~1\Compaq\EASYAC~1\BttnServ.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\pctspk.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Downloads\software\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\uzjwy.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\uzjwy.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\uzjwy.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\uzjwy.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\uzjwy.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\uzjwy.dll/sp.html#83556
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\uzjwy.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FLASHGET\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O2 - BHO: Class - {F800B528-4FAF-AC2B-99E6-CC7371F0E741} - C:\WINDOWS\ipxe32.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CPQEASYACC] C:\Archivos de programa\Compaq\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [addfj32.exe] C:\WINDOWS\system32\addfj32.exe
O4 - HKLM\..\Run: [apiim.exe] C:\WINDOWS\apiim.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [sysfv.exe] C:\WINDOWS\sysfv.exe
O4 - HKCU\..\Run: [Shellapi32] svcnet.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Descargar TODO con FlashGet. - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Descargar usando FlashGet. - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)
O9 - Extra button: fargames.com - {CDC047CC-6702-4f34-90A8-CCFA3290078A} - http://www.fargames.com/ (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: fargames.com - {CDC047CC-6702-4f34-90A8-CCFA3290078A} - http://www.fargames.com/ (file missing) (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62...ridge-c283.cab
O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} - http://ip.sponsoradulto.com/cab/2/es...TelecomInt.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {A9CE3954-E2EB-4128-AA6D-7DB33017A6E7} (SatorAppLaucher Class) - http://www.fargames.com/es/Games/SatorLaucher.cab.php
O17 - HKLM\System\CCS\Services\Tcpip\..\{9EF846A5-CCAF-4D2E-BC42-40846F8C268F}: NameServer = 216.155.73.154 216.155.73.40
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

Hola, sigue estos pasos:

1 - Apaga "Restaurar Sistema".

2 - Con todos los programas cerrados, ejecuta HijackThis, marca las siguientes entradas y haces FIX:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\uzjwy.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\uzjwy.dll/sp.html#83556

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\uzjwy.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\uzjwy.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\uzjwy.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\uzjwy.dll/sp.html#83556
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\uzjwy.dll/sp.html#83556

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {F800B528-4FAF-AC2B-99E6-CC7371F0E741} - C:\WINDOWS\ipxe32.dll

O4 - HKLM\..\Run: [addfj32.exe] C:\WINDOWS\system32\addfj32.exe
O4 - HKLM\..\Run: [apiim.exe] C:\WINDOWS\apiim.exe

O4 - HKLM\..\Run: [sysfv.exe] C:\WINDOWS\sysfv.exe
O4 - HKCU\..\Run: [Shellapi32] svcnet.exe

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6...bridge-c283.cab
O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} - http://ip.sponsoradulto.com/cab/2/e...bTelecomInt.cab

3 - Localiza y elimina (usa KillBox si es necesario):

Fíjate en los ficheros marcados en negrita, es posible que cuando vayas a seguir estos pasos dichos nombres hayan cambiado, no importa, elimínalos igual.

C:\WINDOWS\system32\uzjwy.dll
C:\WINDOWS\ipxe32.dll
C:\WINDOWS\system32\addfj32.exe
C:\WINDOWS\apiim.exe
C:\WINDOWS\sysfv.exe
..svcnet.exe

4 - Escanea el sistema con un par de antivirus, siguiendo los pasos que ahí aparecen. Luego limpia el registro con un programa como RegSeeker por ejemplo.

5 - Reinicia en "Modo a prueba de fallos" o "Modo seguro" y escanea el equipo con Ad-Aware SE y Spybot Search&Destroy.

6 - Usa el Disk Cleaner para limpiar cookies y temporales.

7 - Reinicia y nos cuentas los resultados.

**NOTA: Actualiza el sistema operativo y el navegador.

Saludos.

Hola gracias por responderme voy en paso 4 el de pasar el antivirus online, tuve unos problemillas q al momento de borrar los archivos q me indicaste, porque despues de hacer eso no me podía conectar a internet y tuve q realizar un montón de cosas... cuando logré conectarme reinicie en "modo seguro" pero con la opción de conectarse a la red, pero no podía conectarme porque me deshabilitaba la el adaptador de PPPq tengo para poder conectarme.... ahora ya pasé los antivirus Panda y RAV porque los otros no me funkaban y me salen el informe no mas... en fin la pregunta es los archivos q me aparecen infectados los elimino manualmente? y lo otro esos errores q tube afectarán al final para "limpiar" mi PC?? Ojalá me respondan pronto Gracias

Los archivos infectados los podes borrar usando el programa "KillBox" copiando la ruta exacta donde estos se encuntran por ejemplo los que ya te marcaron mas arriba

C:\WINDOWS\system32\uzjwy.dll
C:\WINDOWS\ipxe32.dll
C:\WINDOWS\system32\addfj32.exe
C:\WINDOWS\apiim.exe
C:\WINDOWS\sysfv.exe

Despues nos contas los resultados.

Salu2

Al parecer ha resultado por fin ha desaparecido el HSA pero aún me quedó el Offer Optimizer y Shopping Wizard en la lista de "Agregar y Quitar Prog." y por lo menos yo no le veo mucha cara de amigables a esos 2 sobre todos de que nose de donde aparecieron..... Bueno este mi nuevo LOG pa q le echen un vistazo... gracias

Logfile of HijackThis v1.99.1
Scan saved at 22:32:47, on 30-06-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Compaq\Easy Access Button Support\StartEAK.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\ARCHIV~1\Compaq\EASYAC~1\BttnServ.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\pctspk.exe
C:\ARCHIV~1\Surnet\SURNET~1\app\pppoeservice.exe
C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\ARCHIV~1\Surnet\SURNET~1\app\EnterNet.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Downloads\software\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FLASHGET\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CPQEASYACC] C:\Archivos de programa\Compaq\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Descargar TODO con FlashGet. - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Descargar usando FlashGet. - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: fargames.com - {CDC047CC-6702-4f34-90A8-CCFA3290078A} - http://www.fargames.com/ (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: fargames.com - {CDC047CC-6702-4f34-90A8-CCFA3290078A} - http://www.fargames.com/ (file missing) (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A9CE3954-E2EB-4128-AA6D-7DB33017A6E7} (SatorAppLaucher Class) - http://www.fargames.com/es/Games/SatorLaucher.cab.php
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - C:\ARCHIV~1\Surnet\SURNET~1\app\pppoeservice.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

No sale nada en el log de HijackThis por lo que pasale nuevamente el HSRemove y Panda online dejandonos el informe de este ultimo y luego vamos a probar con un rastreador de malware llamado MWAV.exe . Esta herramienta no elimina en su versión gratuita pero genera un log donde te dirá los archivos infectados. Este log es muy largo por lo que te pido que sólo copies los archivos reconocidos como infectados.

Salu2

Ya haber pa que despues no me estén diciendo que abro y abro temas, voy a escribir aqui mismo el problema anterior ya pasó que tiempo (basta con mirar la fecha de los post). Ahora lo que me trae de vuelta para acá es un maldito que me tiene muy cabreado, pero que no he podido sacarlo.... he visto en otros post que han dixo lo de siempre, que pero esta vez no me esta resultando.... entonces les dejo un LOG pa ver como está..... Ah!! estoy hablando del win**.tmp.exe que se trata de conectar a internet desde la carpeta de los temporales y al momento de negarle la conección con el firewall me bota la conección de internet, pero igual queda corriendo el programa Uffff bueno nose si saldra algo en el Log del hijack pero se los dejo.... mas rato dejaré el de "mwav" porque ahi salen archivos infectados pero no sabía como eliminarlos....

Logfile of HijackThis v1.99.1
Scan saved at 13:26:26, on 29-03-2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Archivos de programa\FlashGet\flashget.exe
C:\Archivos de programa\BitComet\BitComet.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
D:\Otros\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FLASHGET\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\fgiebar.dll
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Descargar TODO con FlashGet. - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Descargar usando FlashGet. - C:\Archivos de programa\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE28A6AE-DA11-4A70-8840-E750CFF63532}: NameServer = 216.155.73.154 216.155.73.40
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: winopn32 - C:\WINDOWS\SYSTEM32\winopn32.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe


bueno esop y gracias de nuevo

Acá está el registro de MWAV donde sí salen archivos infectados.... traté de poner todo lo que salía de los archivos infectados, las rutas y esas cosas...
Obvio que no puse todo porque es larguísimo.....


Thu Mar 30 07:24:26 2006 => Examinando Archivo C:\WINDOWS\TEMP\win76.tmp.exe
Thu Mar 30 07:24:31 2006 => Archivo C:\WINDOWS\TEMP\win76.tmp.exe infectado por "Trojan.Win32.Dialer.u" Virus. Acción Tomada: Ninguna Accion fue realizada.

Thu Mar 30 07:24:31 2006 => Examinando Archivo C:\WINDOWS\TEMP\win61A.tmp.exe
Thu Mar 30 07:24:32 2006 => Archivo C:\WINDOWS\TEMP\win61A.tmp.exe infectado por "Trojan.Win32.Dialer.oy" Virus. Acción Tomada: Ninguna Accion fue realizada.

Thu Mar 30 07:25:00 2006 => ERROR!!! Invalid Entry
in SYSTEM\CurrentControlSet\Services\vsdatant...

Thu Mar 30 07:25:01 2006 => System found infected with cws.winres Browser Hijacker ({2d38a51a-23c9-48a1-a33c-48675aa2b494})! Action taken: Ninguna Accion fue realizada.
Thu Mar 30 07:25:02 2006 => System found infected with cws.winres Browser Hijacker ({2d38a51a-23c9-48a1-a33c-48675aa2b494})! Action taken: Ninguna Accion fue realizada.
Thu Mar 30 07:25:06 2006 => Offending file found: C:\WINDOWS\winres.dll
Thu Mar 30 07:25:06 2006 => System found infected with dynamic desktop media adware Spyware/Adware (winres.dll)! Action taken: Ninguna Accion fue realizada.

Thu Mar 30 07:25:09 2006 => Offending Folder found: C:\WINDOWS\System32\1024
Thu Mar 30 07:25:09 2006 => Object "smitfraud variant Browser Hijacker" found in File System! Action Taken: Ninguna Accion fue realizada.

Thu Mar 30 07:25:11 2006 => Offending file found: C:\Documents and Settings\Familia\Mis documentos\tcpmp.win32.0.71i\common.dll
Thu Mar 30 07:25:11 2006 => System found infected with cydoor Spyware/Adware (common.dll)! Action taken: Ninguna Accion fue realizada.

Thu Mar 30 07:25:15 2006 => Offending file found: C:\Documents and Settings\Familia\Mis documentos\tcpmp.win32.0.71i\common.dll
Thu Mar 30 07:25:15 2006 => System found infected with cydoor Spyware/Adware (common.dll)! Action taken: Ninguna Accion fue realizada.

Thu Mar 30 07:43:20 2006 => Examinando Archivo C:\WINDOWS\Temp\win76.tmp.exe
Thu Mar 30 07:43:20 2006 => Archivo C:\WINDOWS\Temp\win76.tmp.exe infectado por "Trojan.Win32.Dialer.u" Virus. Acción Tomada: Ninguna Accion fue realizada.

Thu Mar 30 07:43:20 2006 => Examinando Archivo C:\WINDOWS\Temp\win84.tmp.exe
Thu Mar 30 07:43:20 2006 => Archivo C:\WINDOWS\Temp\win84.tmp.exe infectado por "Trojan.Win32.Dialer.u" Virus. Acción Tomada: Ninguna Accion fue realizada.

Thu Mar 30 07:43:20 2006 => Examinando Archivo C:\WINDOWS\Temp\win9A.tmp.exe
Thu Mar 30 07:43:20 2006 => Archivo C:\WINDOWS\Temp\win9A.tmp.exe infectado por "Trojan.Win32.Dialer.oy" Virus. Acción Tomada: Ninguna Accion fue realizada.


Thu Mar 30 07:43:20 2006 => Examinando Archivo C:\WINDOWS\Temp\winEA.tmp.exe
Thu Mar 30 07:43:21 2006 => Archivo C:\WINDOWS\Temp\winEA.tmp.exe infectado por "Trojan-Downloader.Win32.IstBar.ff" Virus. Acción Tomada: Ninguna Accion fue realizada.


Thu Mar 30 07:43:22 2006 => Examinando Archivo C:\WINDOWS\Temp\win3AE.tmp.exe
Thu Mar 30 07:43:22 2006 => Archivo C:\WINDOWS\Temp\win3AE.tmp.exe infectado por "Trojan.Win32.Dialer.oy" Virus. Acción Tomada: Ninguna Accion fue realizada.

Thu Mar 30 07:43:24 2006 => Examinando Archivo C:\WINDOWS\Temp\win61A.tmp.exe
Thu Mar 30 07:43:24 2006 => Archivo C:\WINDOWS\Temp\win61A.tmp.exe infectado por "Trojan.Win32.Dialer.oy" Virus. Acción Tomada: Ninguna Accion fue realizada.



Thu Mar 30 07:49:26 2006 => ***** Examen Completo. *****

Thu Mar 30 07:49:26 2006 => Archivos Examinados:: 26353
Thu Mar 30 07:49:26 2006 => Virus Encontrados:: 14
Thu Mar 30 07:49:26 2006 => Archivos Desinfectados:: 0
Thu Mar 30 07:49:26 2006 => Archivos Renombrados:: 0
Thu Mar 30 07:49:26 2006 => Archivos Eliminados:: 0
Thu Mar 30 07:49:26 2006 => Errores:: 1
Thu Mar 30 07:49:26 2006 => Tiempo Transcurrido:: 00:25:27
Thu Mar 30 07:49:26 2006 => Fecha de Base de Datos de Virus: 3/7/2006
Thu Mar 30 07:49:26 2006 => Conteo de Base de Datos de Virus: 180619

Thu Mar 30 07:49:26 2006 => Examen Completo.


Archivo C:\WINDOWS\TEMP\win76.tmp.exe infectado por "Trojan.Win32.Dialer.u" Virus. Acción Tomada: Ninguna Accion fue realizada.

Archivo C:\WINDOWS\TEMP\win61A.tmp.exe infectado por "Trojan.Win32.Dialer.oy" Virus. Acción Tomada: Ninguna Accion fue realizada.

Object "cws.winres Browser Hijacker" found in File System! Action Taken: Ninguna Accion fue realizada.

Object "cws.winres Browser Hijacker" found in File System! Action Taken: Ninguna Accion fue realizada.

Object "dynamic desktop media adware Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.

Object "smitfraud variant Browser Hijacker" found in File System! Action Taken: Ninguna Accion fue realizada.

Object "cydoor Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.

Object "cydoor Spyware/Adware" found in File System! Action Taken: Ninguna Accion fue realizada.

Archivo C:\WINDOWS\Temp\win76.tmp.exe infectado por "Trojan.Win32.Dialer.u" Virus. Acción Tomada: Ninguna Accion fue realizada.

Archivo C:\WINDOWS\Temp\win84.tmp.exe infectado por "Trojan.Win32.Dialer.u" Virus. Acción Tomada: Ninguna Accion fue realizada.

Archivo C:\WINDOWS\Temp\win9A.tmp.exe infectado por "Trojan.Win32.Dialer.oy" Virus. Acción Tomada: Ninguna Accion fue realizada.

Archivo C:\WINDOWS\Temp\winEA.tmp.exe infectado por "Trojan-Downloader.Win32.IstBar.ff" Virus. Acción Tomada: Ninguna Accion fue realizada.

Archivo C:\WINDOWS\Temp\win3AE.tmp.exe infectado por "Trojan.Win32.Dialer.oy" Virus. Acción Tomada: Ninguna Accion fue realizada.

Archivo C:\WINDOWS\Temp\win61A.tmp.exe infectado por "Trojan.Win32.Dialer.oy" Virus. Acción Tomada: Ninguna Accion fue realizada.



Yap espero que me ayuden por favor ............