Hola a todos.

No consigo eliminar el PSGuard del ordenador.
He hecho de todo.
He realizado todos los pasos del tutorial (t4239), varias veces.
He pasado el Adware con las ultimas versiones. Tambien el HijackThis.exe. Tambien el Spybot - Search & Destroy actualizado. Todo ello lo he hecho tanto en sistema seguro (F8) y en normal.

Hay 2 cosas que me hacen sospecha y puede que os ayude a saber que me esta pasando:

1) Cuando ejecuto el Ad-aware empieza a escanear y de repente se queda atascado en el registro HKEY_LOCAL_MACHINE. Se pasa unos 15 minutos colgado y despues continua normal. Cuando elimino todo lo corrupto, lo vuelvo a pasar una segunda vez y siempre me encuentra los mismos 2 archivos corruptos que son estos:

Malware.Psguard Object Recognized!
Type : Regkey
Data :
TAC Rating : 7
Category : Malware
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : clsid\{357a87ed-3e5d-437d-b334-deb7eb4982a3}


Malware.Psguard Object Recognized!
Type : Regkey
Data :
TAC Rating : 7
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\shudderltd

2) otra cosa que me estraña es que cuando he borrado y desinstalado todo lo concerniente al PSGuard, en el momento que hago doble click en el Internet Explorer se autoejecuta la instalacion de PSGuard de nuevo, se vuelve a instalar otra vez y coloca en el escritorio un acceso directo. Todo ello solo cuando ejecuto Internet Explorer.

No consigo eliminarlo.

Tambien he pasado el Killbox tal y como habeis dicho. y Tambien el SmitfraudFix.bat

Mas informacion. Os dejo el log que me da el HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 17:38:48, on 29/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Windows NT\Accesorios\wordpad.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Josep\Mis documentos\Software\RegSeeker\RegSeeker\RegSeeker. exe
C:\Documents and Settings\Josep\Mis documentos\Software\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Archivos de programa\PSGuard\PSGuard.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C8621EE-D72D-4B54-8768-BDE7BCA4F923}: NameServer = 195.95.218.1,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{85ADE95E-4E8A-4A5D-A0DA-4ED7CA5C9CAD}: NameServer = 195.95.218.1,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{9AC386ED-833B-4857-BD85-BC802FBA5A2D}: NameServer = 195.95.218.1,85.255.112.7
O23 - Service: Trace network connections (ACCRA) - Unknown owner - C:\WINDOWS\System32\mocih.exe (file missing)
O23 - Service: Provides three management service (FreeBSD) - Unknown owner - C:\WINDOWS\System32\dev32.exe (file missing)
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

Gracias.

Hola josease

Tu log no esta completo,entra en otros post y te fijas como son.Cuando vuelvas a poner otro q sea completo.Tienes q ponerlo solo en una carpeta mira bien el tutorial.

Sigamos. Realiza todos los pasos sin saltarte ninguno,por favor.

Tienes q ir a *windowsupdate y AQUI y actualizar tu S.O. y el I.E. con los parches críticos y de seguridad q te faltan.

Apaga tu ruter/moden y desconecta el cable de tf. de la torre.

*Ver archivos ocultos en todos los Windows

*Apagar Restaurar Sistema (Systema Restore)

*Reinicia el PC en Modo a prueba de fallos

Con todos los programas cerrados,ejecuta el Hijackthis y dale FIX a estas entradas:

O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Archivos de programa\PSGuard\PSGuard.exe
O23 - Service: Trace network connections (ACCRA) - Unknown owner - C:\WINDOWS\System32\mocih.exe (file missing)
O23 - Service: Provides three management service (FreeBSD) - Unknown owner - C:\WINDOWS\System32\dev32.exe (file missing)


Busca y elimina estos archivos/carpetas.Utiliza el KillBox si no puedes.

Paso 3- Desinstala desde el Panel de Control - Agregar/Quitar Programas si tiene cualquiera de estos programas:

PSGuard
Security IGuard
Virtual Maid
Search Maid

Paso 4- Iniciar el KillBox.exe , seleccionar la opción "Delete on Reboot " (Eliminar al reiniciar).

En el recuadro etiquetado como "Full path of file to delete" (Ruta completa del archivo a eliminar), ir poniendo de uno en uno las estas rutas y sus archivos:

C:\wp.exe
C:\wp.bmp
C:\Windows\sites.ini
c:\bsw.exe
C:\Windows\popuper.exe
C:\WINDOWS\System32\intel32.exe
C:\Windows\System32\helper.exe
C:\Windows\System32\intmonp.exe
C:\Windows\System32\msmsgs.exe
C:\Windows\System32\ole32vbs.exe
C:\Windows\system32\msole32.exe
C:\Archivos de programa\PSGuard\PSGuard.exe
C:\WINDOWS\System32\mocih.exe
C:\WINDOWS\System32\dev32.exe

Ir pulsando en el botón que parece un circulo rojo con una X blanca. Cuando se le pregunte si queres reiniciar ahora ("Reboot now"), ponerle que NO hasta poner el ultimo archivo y ahi ponerle que SI para que reinicie y elimine estos archivos.

Pasa estas herramientas:

*Ad-Aware 1.06 SE Personal

*Disk Cleaner para limpiar cookis y temporales

* RegSeeker para limpiar el registro y su manual pasalo varias veces hasta q ya no te salga nada.

Reinicia y te conectas a la red.

Y le pasas el *Spybot S.D.

Pones otro log y nos cuentas los resultados.

saludos

HOLA.
He realizado TODOS Y CADA UNO DE LOS PASOS que me explicas.
No lo he solucionado. En la parte de abajo y derecha de los iconos pequeños del escritorio, de vez en cuando me sale una nota informativa que me indica que estoy infectado (lo dice en ingles). Creo que aun se trata del PSGuard porque el icono es amarillo-naranja en forma de escudo.

Cuando he conectado el ordenador a la red, antes de hacer doble click en el I.E. he sacado un log, es este:

Logfile of HijackThis v1.99.1
Scan saved at 13:00:20, on 02/08/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Josep\Mis documentos\Software\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C8621EE-D72D-4B54-8768-BDE7BCA4F923}: NameServer = 195.95.218.1,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{85ADE95E-4E8A-4A5D-A0DA-4ED7CA5C9CAD}: NameServer = 195.95.218.1,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{9AC386ED-833B-4857-BD85-BC802FBA5A2D}: NameServer = 195.95.218.1,85.255.112.7
O23 - Service: Trace network connections (ACCRA) - - (no file)
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe


Despues, me he conecatdo a I.E. y posteriormente he vuelto a ejecutar el HijackThis v1.99.1. El nuevo log es:

Logfile of HijackThis v1.99.1
Scan saved at 13:09:09, on 02/08/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Windows NT\Accesorios\WORDPAD.EXE
C:\Documents and Settings\Josep\Mis documentos\Software\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C8621EE-D72D-4B54-8768-BDE7BCA4F923}: NameServer = 195.95.218.1,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{85ADE95E-4E8A-4A5D-A0DA-4ED7CA5C9CAD}: NameServer = 195.95.218.1,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{9AC386ED-833B-4857-BD85-BC802FBA5A2D}: NameServer = 195.95.218.1,85.255.112.7
O23 - Service: Trace network connections (ACCRA) - - (no file)
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe


Creo que son iguales.

Por cierto, otra cosa, ahora de vez en cuando, muy de vez en cuando me aparece una pantalla que me dice que "EXPLORER ha detectado un problema" y a veces le doy al boton de ENVIAR o NO ENVIAR y me lo cierra todo.

No se que mas informacion puedo daros para que me ayudeis.

Continuo con el problema y esperando que me ayudeis.
Un saludo muy fuerte porque el trabajo y la ayuda que aportais es increible.
Josep.

Hola, NO PODEIS AYUDARME UN POQUITO MAS???
Gracias.

Hola!!!

De ese log, que es extrañamente corto ya no se pueden sacar más cosas. Sólo da fix a esta entrada:

O23 - Service: Trace network connections (ACCRA) - - (no file)

Sería importante que visitara Windows Update y descargaras todas las actualizaciones criticas y de seguridad.

Después descarga MWAV.exe y déjanos un log de esta herramienta. De este reporte sólo deberás copiar las entradas reconocidas como infectadas.

Parece que algo no es capaz de ver el HijackThis, por lo que esperemos que esta herramienta nos muestre algo.

Saludos

OK gracias. Solucionado.