Hola a todos. Es mi primer mensaje en este foro.

Me ocurren dos cosas:

a) Cuando pincho en los resultados del Google me envía a páginas web con publicidad

b) Cuando intento acceder a la carpeta C:\Documents and Settings\Administrador\Configuración local\Temp el explorer se me cierra con un error.

- El AD-Ware se me cuelga al llegar a esa carpeta, incluso llamando antes al AAWCloak
- El NOD32 y otros antivirus online se me cuelgan o simplemente desaparecen, y creo que es cuando llegan a esa carpeta
- En modo a prueba de fallos sucede lo mismo
- El Spybot S&D no encuentra nada
- El ACE Utilities se me cierra con error cuando le doy a Junk File Cleaner

Os pego el log:
------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 18:29:11, on 12/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5296.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Ray Adams\ATI Tray Tools\atitray.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Administrador\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/announcement.php?f=12
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: 217.20.115.104 ah
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [DU Meter] C:\Archivos de programa\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Babylon Client] C:\Archivos de programa\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Multiplicity] C:\Archivos de programa\Stardock\ThinkDesk\Multiplicity\multipl.e xe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Archivos de programa\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [SpamBully 3 for Outlook Express] "C:\Archivos de programa\Axaware\Spam Bully 3 for OE\sb3oe.exe" install
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,90/mcinsctl.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,23/mcgdmgr.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8FD53CB5-2D18-42F8-914F-663AF811A530}: NameServer = 85.255.116.138,85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B159C7F-4A6B-400D-A61F-61B0734DC5BF}: NameServer = 85.255.116.138,85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{F5D378A7-D99E-4D1F-AED9-0C7A75663849}: NameServer = 85.255.116.138,85.255.112.19
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.138 85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.138 85.255.112.19
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: Multi - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe (file missing)
O23 - Service: DirectX Service (DirectMuwh) - Unknown owner - C:\WINDOWS\system32\directx.exe (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Archivos de programa\Executive Software\Diskeeper\DkService.exe
O23 - Service: Stardock Multiplicity (Multiplicity) - Unknown owner - C:\ARCHIV~1\Stardock\THINKD~1\MULTIP~1\MULTIS~2.EX E
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
---------------------------------------------

Muchas gracias!

Luis Fernández - Valladolid - España

Hola te doy la bienvenida al foro, no te olvides de pasar por WindowsUpdate periódicamente para tener actualizado el sistema, luego sigue estos pasos:

1.- Descarga la herramienta WinsockFix y descomprímela en el escritorio de Windows, pero no la ejecutes aún.

2.- Apaga el "Restaurar Sistema"

3.- Activa la opción Ver Archivos Ocultos

4.- Reinicia en Modo a Prueba de Fallos

5.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

O1 - Hosts: 217.20.115.104 ah

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O17 - HKLM\System\CCS\Services\Tcpip\..\{8FD53CB5-2D18-42F8-914F-663AF811A530}: NameServer = 85.255.116.138,85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B159C7F-4A6B-400D-A61F-61B0734DC5BF}: NameServer = 85.255.116.138,85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{F5D378A7-D99E-4D1F-AED9-0C7A75663849}: NameServer = 85.255.116.138,85.255.112.19
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.138 85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.138 85.255.112.19

O20 - Winlogon Notify: Multi - C:\WINDOWS\

O23 - Service: DirectX Service (DirectMuwh) - Unknown owner - C:\WINDOWS\system32\directx.exe (file missing)

6.- Sin reiniciar, busca y elimina este archivo, si aún lo encuentras, si no se deja eliminar descarga el programa "Killbox" y sigue las indicaciones del mensaje, copia y pega el archivo para que lo elimine al reiniciar.

C:\WINDOWS\system32\directx.exe

7.- Pasa el Disk Cleaner para limpiar cookies y temporales

8.- Pasa el Regseeker para Limpiar el Registro, pásalo hasta q no quede nada para eliminar.

9.- Pasa el Ad-Aware SE actualizado e instala SpywareBlaster

10.- Reinicia la máquina y realiza un escaneo con Panda Online, luego pega otro log de Hijackthis y nos cuentas como te fue.

11.- Deshaz los pasos 2 y 3.

12.- Es probable que al darle "Fix Checked" a las entradas 017 te quedes sin conexión a internet, para reparar la conexión ejecuta la herramienta WinsockFix, al reinicio de tu máquina puede que tengas que volver a configurar las propiedades de tu conexión.

De preferencia imprime las indicaciones para que se te haga mas facil seguirlas.

Saludos

Hola Guillermo, muchas gracias por responder tan rápido.

- He realizado los pasos 1, 2, 3, 4 y 5.
- El paso 6 no lo he podido realizar ya que no encuentro por ningún lado el fichero directx.exe
- Realizados los pasos 7, 8 y 9
- Paso 10: El Panda Online me detectaba bichos pero no me los quitaba, decía que tenía que pagar.
- Pasé el ewido y me dijo que tenía el Trojan.DNSChanger.hg pero no lo quitaba
- Busqué por el foro y ejecutando el FixWareOut parece que ya ha desparecido todo
-Paso 12: no me quedé sin Internet, por lo tanto, no tuve que ejecutar el WinsockFix
- Te pego el log:
-------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 16:20:07, on 13/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5296.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Executive Software\Diskeeper\DkService.exe
C:\ARCHIV~1\Stardock\THINKD~1\MULTIP~1\MULTIS~2.EX E
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\DU Meter\DUMeter.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Babylon\Babylon.exe
C:\Archivos de programa\Stardock\ThinkDesk\Multiplicity\multipl.e xe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Ray Adams\ATI Tray Tools\atitray.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\eMule\emule.exe
C:\Documents and Settings\Administrador\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.airhispania.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: 217.20.115.104 ah
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [DU Meter] C:\Archivos de programa\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Babylon Client] C:\Archivos de programa\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Multiplicity] C:\Archivos de programa\Stardock\ThinkDesk\Multiplicity\multipl.e xe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Archivos de programa\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [SpamBully 3 for Outlook Express] "C:\Archivos de programa\Axaware\Spam Bully 3 for OE\sb3oe.exe" install
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,90/mcinsctl.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,23/mcgdmgr.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - ATI Technologies Inc. - (no file)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Archivos de programa\Executive Software\Diskeeper\DkService.exe
O23 - Service: Stardock Multiplicity (Multiplicity) - Unknown owner - C:\ARCHIV~1\Stardock\THINKD~1\MULTIP~1\MULTIS~2.EX E
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
---------------------------------------------------------------------

Última pregunta: veo en O16 cosas del McAfee; lo podría eliminar?
Muchas gracias por todo.
Un saludo muy grande desde Valladolid - España
Luis Fernández

Justamente el siguiente paso era usar Fixwareout, que bueno que ya lo hayas usado, pero me gustaría ver su reporte, este se encuentra dentro de la carpeta C:\fixwareout\report.txt

Las entradas 016 son ActiveX, puedes repararlas sin problemas, por ejemplo si reparas la entrada de Ewido esto hará que en el próximo escaneo online que hagas con Ewido, tengas que volver a instalar el ActiveX necesario para que este funcione desde internet.

Seguimos pendientes.

Saludos

OK, Guillermo, ahí va el report.txt:
-----------------------------------
Fixwareout
Last edited 1/1/2006
Post this report in the forums please
...
Prerun check
»»»»» HKLM run and Winlogon System values
C:\WINDOWS\system32\kdrxa.exe will be moved to C:\WINDOWS\temp\kdrxa.ren at reboot.
»»»»» System restarted
...
Reg Entries that were deleted
...
Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...

»»»»»
Search five digit cs, dm kd and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal

Other suspects.

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.

»»»»» Postrun check
»»»»» HKLM run
»»»»» Winlogon System value
"system"=""
»»»»»
------------------------------------
Un saludo
Luis Fernández -Valladolid - España

Bien, veo que Fixwareout ha renombrado y movido la infección a una carpeta temporal, por lo que elimina todo el contenido de esta carpeta:

C:\WINDOWS\temp\

El log de Hijackthis está limpio así que damos el tema por solucionado

Saludos