En vuestra anterior etapa os contaba que tenia en el pc no se que cantidad de bichos, el caso es que os envie mi log del hijackthis y empezasteis a decirme lo que tenia q ir haciendo. El caso es q llegamos a un punto en el q yo no podia eliminar 2 entradas 015, pero paso el spyboot 1.3 y el ad-aware 6.0 y no detectan nada, pero paso mi antivirus (Mc Afee 7.1) y me detecta 48 bicho, uno de los cuales es un troyano y los otros 47 los llama programas.
El caso es q este es mi ultimo log:

Logfile of HijackThis v1.99.0
Scan saved at 12:25:18, on 18/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
C:\EPOAgent\naimas32.exe
C:\Archivos de programa\Remote\RAMaint.exe
C:\Archivos de programa\Remote\RemotelyAnywhere.exe
C:\Archivos de programa\Remote\RAGui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\PROMon.exe
C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe
C:\Archivos de programa\Analog Devices\SoundMAX\DrvLsnr.exe
C:\WINDOWS\System32\NMSSvc.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\EPOAgent\naimag32.exe
C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE
C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Documents and Settings\FraCalIg\Mis documentos\Nueva carpeta\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jcyl.es
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.jcyl.es/cylnet.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://www.jcyl.es/cylnet.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Archivos de programa\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [NaimAgent_UI] C:\EPOAgent\naimag32.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [AVGCtrl] "C:\Archivos de programa\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{07CD2972-27A3-4C58-8DBB-F9C4AF0D9A26}: NameServer = 10.16.224.11,10.16.139.16,10.17.64.10
O17 - HKLM\System\CS1\Services\Tcpip\..\{07CD2972-27A3-4C58-8DBB-F9C4AF0D9A26}: NameServer = 10.16.224.11,10.16.139.16,10.17.64.10
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Servicio de registro de McAfee - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: NAI ePolicy Orchestrator Agent - Network Associates, Inc. - C:\EPOAgent\naimas32.exe
O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Intel(R) NMS - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: RemotelyAnywhere Maintenance Service - 3am Laboratories PL - C:\Archivos de programa\Remote\RAMaint.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: RemotelyAnywhere - 3am Laboratories PL - C:\Archivos de programa\Remote\RemotelyAnywhere.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
A ver q se puede hacer.

Marca las siguientes entradas y pulsa fix para eliminar:

C:\WINDOWS\System32\PROMon.exe *** si es algo que haz instalado manualmente y lo utilizas no lo borres.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jcyl.es

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.jcyl.es/cylnet.pac

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://www.jcyl.es/cylnet.pac

O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe

O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{07CD2972-27A3-4C58-8DBB-F9C4AF0D9A26}: NameServer = 10.16.224.11,10.16.139.16,10.17.64.10
O17 - HKLM\System\CS1\Services\Tcpip\..\{07CD2972-27A3-4C58-8DBB-F9C4AF0D9A26}: NameServer = 10.16.224.11,10.16.139.16,10.17.64.10

Saludos
Gothikaalone

Hice lo q me dijiste y este es mi nuevo log:
Logfile of HijackThis v1.99.0
Scan saved at 8:55:00, on 19/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
C:\EPOAgent\naimas32.exe
C:\WINDOWS\System32\NMSSvc.exe
C:\Archivos de programa\Remote\RAMaint.exe
C:\Archivos de programa\Remote\RemotelyAnywhere.exe
C:\Archivos de programa\Remote\RAGui.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe
C:\Archivos de programa\Analog Devices\SoundMAX\DrvLsnr.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\EPOAgent\naimag32.exe
C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE
C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Documents and Settings\FraCalIg\Mis documentos\Nueva carpeta\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jcyl.es
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.jcyl.es/cylnet.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://www.jcyl.es/cylnet.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Archivos de programa\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [NaimAgent_UI] C:\EPOAgent\naimag32.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [AVGCtrl] "C:\Archivos de programa\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MSUpdSrv] msupdsrv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{07CD2972-27A3-4C58-8DBB-F9C4AF0D9A26}: NameServer = 10.16.129.16,10.17.64.10
O17 - HKLM\System\CS1\Services\Tcpip\..\{07CD2972-27A3-4C58-8DBB-F9C4AF0D9A26}: NameServer = 10.16.129.16,10.17.64.10
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Servicio de registro de McAfee - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: NAI ePolicy Orchestrator Agent - Network Associates, Inc. - C:\EPOAgent\naimas32.exe
O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Intel(R) NMS - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: RemotelyAnywhere Maintenance Service - 3am Laboratories PL - C:\Archivos de programa\Remote\RAMaint.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: RemotelyAnywhere - 3am Laboratories PL - C:\Archivos de programa\Remote\RemotelyAnywhere.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Gracias.

Hola

Una pregunta

¿las entradas de crazywinnings.com las agregaste tú?

Es que las sigues teniendo, si no las elimina el programa trata de hacerlo manualmente usando el regedit y entrando en esta rama:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Int ernet Settings\ZoneMap\Domains

Ahí buscas las entradas correspondientes y las borras. Si te da problemas haciéndolo manualmente, puedes entrar en el modo seguro y hacerlo desde ahí.

Si te vuelve a aparecer eso en un siguiente log, puedes probar esto:

Abre el block de notas y pega esto en un documento vacio:

Luego ve a archivo > «guardar como...», ponle un nombre al documento y asegúrate de cambiar donde dice tipo documento de texto por todos los archivos. El nombre que le pongas da igual, pero asegúrate de que tiene la extensión .reg. Es decir, el documento te debería quedar más o menos nombrado así:

documento.reg

Luego le das dos clics y eso lanzará la ejecución delo que has creado, te preguntará si estás seguro de querer agregar eso al registro, respondes que si y sigues adelante.

Recuerda hacer las correcciones teniendo los navegadores cerrados.

Luego, sobre los apartados 017.

¿estás en una red interna? si es así, deberías preguntar al administrador como son los números de ip que suelen usar. Los números (Desde > 10.0.0.0) (Hasta > 10.255.255.255) no tiene salida a internet, así que si coinciden con la red que están utilizando no es un problema serio.

Si quieres averigüar tu mismo los números que tienes asígnado, solo tienes que hacer esto:

Inicio > ejecutar > cmd

Se te abrirá una ventanita de ms-dos, allí escribe:

ipconfig

Te saldrán varias líneas y una de ellas dirá: dirección ip, esa es tu dirección, si se parece a las alnetriores, es que así es tu red. Si no, ve al modo seguro y sin tener nada abierto salvo el hijack, repara esas claves.

Suerte

Felicidad

Vamos por partes:
1.las entradas de crazywinnings.com no las he agregado yo.
2.he abierto el regedit (lo he hecho en modo normal y luego en modo seguro) y fui a HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Int ernet Settings\ZoneMap\Domains y no he encontrado (o no se identificarlas) las entradas q me dices y q supongo q se llamarán crazywinnings.com, o algo así. Eso si, he visto un monton de entradas q me encantaria eliminar ¿puedo eliminar directamente las q canten mucho?
3. Mi dirección ip es 10.16.224.55

Sigo a la escucha.

ah, se me olvidaba. Cuando inicio el ordenador me añade a favoritos unas direcciones de internet, he pasado el spyboot y el ad-aware y no detecta nada.

Hola

Bueno, dada la ip que tienes, no hace falta que te preocupes por estas entradas del spybot:

O17 - HKLM\System\CCS\Services\Tcpip\..\{07CD2972-27A3-4C58-8DBB-F9C4AF0D9A26}: NameServer = 10.16.129.16,10.17.64.10
O17 - HKLM\System\CS1\Services\Tcpip\..\{07CD2972-27A3-4C58-8DBB-F9C4AF0D9A26}: NameServer = 10.16.129.16,10.17.64.10

Sobre la entrada del registro que te mencionaba, si ya nos las ves, está bien. Es decir, al ejecutar el hijackthis ¿las sigues teniendo?.

Sobre las otras entradas que aparecen en esa clave del registro, es cierto que hay muchas que parece «cantar», pero no te preocupes por ellas. Ahí deben estar.

¿qué direcciones te añade?

¿te añade la misma siempre o es una nueva cada vez?

Bueno, ya nos cuentas

Felicidad

Cuando paso el hijackthis siguen apareciendo las 015 crazywinnings.com y las direcciones q me añade a favoritos son siempre las mismas.
Hasta luego y gracias
P.D: perdon por haber llamado a mi tema "necesito ayuda", pero es q todavia no me había leido las instrucciones.