Bueno, aqui pego el log del hijackthis para ver si me podeis echar una mano para eliminarlo. Yo he hecho varios intentos con el ad-aware, el spybots, eliminando los ficheros dll que se crean... pero vuelven a aparecer, asi que seguramente me esté saltando algun paso o lo esté haciendo en el orden equivocado. Gracias por adelantado

Logfile of HijackThis v1.99.1
Scan saved at 16:32:06, on 21/08/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\mfcjr32.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\ARCHIV~1\ARCHIV~1\PCSuite\Services\SERVIC~1.EXE
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\sdkse32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\mIRC\mirc.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
D:\Copia 16-06-2005\Publicidad y secuestro\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bhocj.dll/sp.html#12047
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bhocj.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\bhocj.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bhocj.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bhocj.dll/sp.html#12047
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bhocj.dll/sp.html#12047
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bhocj.dll/sp.html#12047
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {EDB351A4-66C4-592C-4D6E-5DA4F46F6A5C} - C:\WINDOWS\atlgz.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [CTStartup] C:\Archivos de programa\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Jet Detection] C:\Archivos de programa\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [sdkse32.exe] C:\WINDOWS\sdkse32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SoniqueQuickStart] C:\Archivos de programa\Sonique\sqstart.exe -nostick
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1109515793437
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://aeat.es/imagenes/comun/cactivex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{03BCDB9A-DB48-403D-96B4-DF7109274347}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{03BCDB9A-DB48-403D-96B4-DF7109274347}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CS2\Services\Tcpip\..\{03BCDB9A-DB48-403D-96B4-DF7109274347}: NameServer = 80.58.0.33,80.58.32.97
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\mfcjr32.exe" /s (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hola!!!

Primero de nada te recomiendo desinstalar FlashGet, ya que agrega adware.

Tambien debes visitar Windows Update y descargar todas las actualizaciones de alta prioridad.

Después sigue estos pasos:

1) Apaga Restaurar Sistema

2) Ver archivos ocultos

3) Pasa al menos 2 de estos Antivirus Online

4) Reinicia a prueba de fallos

5) Ejecuta CWShredder 2.15 y dale al botón Fix.

6) Ejecuta HijackThis con todos los programas cerrados y dale fix a:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bhocj.dll/sp.html#12047
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bhocj.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\bhocj.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bhocj.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bhocj.dll/sp.html#12047
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bhocj.dll/sp.html#12047
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bhocj.dll/sp.html#12047

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {EDB351A4-66C4-592C-4D6E-5DA4F46F6A5C} - C:\WINDOWS\atlgz.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll (file missing)

O4 - HKLM\..\Run: [sdkse32.exe] C:\WINDOWS\sdkse32.exe

O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\mfcjr32.exe" /s (file missing)

7) Busca y elimina estos archivos:

C:\WINDOWS\mfcjr32.exe
C:\WINDOWS\sdkse32.exe
C:\WINDOWS\system32\bhocj.dll
C:\WINDOWS\atlgz.dll

Para archivos que no se dejen eliminar usa KillBox

8) Limpia el registro con RegSeeker y pasa Ad-Aware actualizado.

9) Elimina cookies y temporales con Disk Cleaner y vacía la papelera.

10) Reinicia normal y nos cuentas los resultados.

Saludos

Muchas gracias, ya he conseguido eliminarlo. (al menos lleva un par de dias sin dar por saco) efectivamente mi error estaba en el orden de los pasos. Lo unico que no consigo eliminar es esta entrada del hijackthis:

O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown
owner - C:\WINDOWS\mfcjr32.exe" /s (file missing)

Imagino que es porque antes de eliminar la entrada ya había eliminado el archivo. ¿Podriaís decirme si se puede eliminar de alguna manera? o al menos si es importante o no, porque si lo unico que hace es buscar el archivo que no existe... tampoco me importa una entrada mas o menos en el registro (como si no hubiera ya porquería en el registro de windows...).

Lo del flashget... se que tiene adware, pero es que me gusta usarlo, y el firewall lo mantiene controlao porque nada mas que le doy permiso cuando lo pongo a bajar, y no me importa cerrar un par de ventanitas (porque tampoco me abre muchas mas, si no... lo mandaría a paseo)

En fin, que gracias otra vez. Un saludo.

Para desinstalar/eliminar un servicio puedes que hacerlo desde Inicio> Ejecutar, cmd y pulsas en aceptar. Ahí escribes:

sc delete "Remote Procedure Call (RPC) Helper" <-- Nombre del servicio

O

sc delete " 11Fßä#·ºÄÖ`I" <-- Nombre corto del servicio

También hacer lo mismo, pero con el HijackThis, en Config..., Misc Tools, Delete an NT service. Ahí escribes el nombre del servicio o el nombre corto.

Desde el registro (inicio> ejecutar, regedit) en:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es

Lo buscas ahí y lo eliminas.

Ok, ya he conseguido borrarlo. Te faltaba un pequeño detalle:

sc delete "Nombre del servicio" (y sorprendentemente, habia que ponerlo entre comillas... en fin, cosas mas raras se han visto)

Tambien lo he borrado del registro y ya el hijackthis no lo encuentra por ningun lao.

Una vez mas, muchas gracias!!!

Sí, perdona, no es la primera vez que me lo dejo ni será la última. Efectivamente, si el nombre del servicio son varias palabras o contiene espacios se escribe entre comillas.