Buenas tardes, compañeros:
Además de que la conexión a Internet es sencillamente imposible - no ocurre así con el correo -, tenemos como problema añadido el secuestro de la página de inicio.
El dialer ya ha sido detectado por Panda, lo que ocurre es que pide la habilitción de una serie de opciones suyas, y esto es algo que no podemos hacer desde un puesto determinado... ¿ Qué alternativa tenemos ?

Ahí va el log y muchas gracias.





Logfile of HijackThis v1.99.1
Scan saved at 13:08:34, on 16/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\Archivos de programa\CA\SharedComponents\DesktopCommonServices\DMPrimer\dmprimer.exe
C:\WINNT\LogWatNT.exe
C:\WINNT\system32\nvsvc32.exe
C:\Archivos de programa\Panda Software\AVTC\PasSrv.exe
C:\Archivos de programa\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
C:\Archivos de programa\Panda Software\Panda Administrator 3\Pav_Agent\pagentwd.exe
C:\Archivos de programa\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
C:\Archivos de programa\Panda Software\AVTC\PavSrv50.exe
C:\Archivos de programa\Panda Software\AVTC\AVENGINE.EXE
C:\Archivos de programa\Panda Software\AVTC\PsImSvc.exe
C:\Archivos de programa\CA\Unicenter Remote Control\rcHost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Archivos de programa\CA\Unicenter Software Delivery\BIN\SDSERV.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Archivos de programa\CA\Unicenter Software Delivery\BIN\TRIGGAG.EXE
C:\WINNT\Explorer.EXE
C:\Archivos de programa\Panda Software\AVTC\WebProxy.exe
C:\WINNT\system32\msiexec.exe
C:\WINNT\system32\svchost.exe
C:\Archivos de programa\Panda Software\AVTC\ClShield.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\SxpInst\sxplog32.exe
C:\Archivos de programa\Microsoft Office\Office\outlook.exe
C:\Archivos de programa\Microsoft Office\Office\MSOFFICE.EXE
C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\Archivos de programa\Panda Software\AVTC\SRVLOAD.EXE
C:\WINNT\system32\MAPISP32.EXE
C:\Archivos de programa\Microsoft Office\Office\winword.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Panda Software\Panda Administrator 3\PavReport\PavReport.exe
C:\Archivos de programa\Panda Software\AVTC\avciman.exe
C:\Documents and Settings\USUARIO1\Mis documentos\SEGUR\20050407 hijacksThis 1.99.1\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\USUARIO1\CONFIG~1\Temp\se.dll/spage.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\USUARIO1\CONFIG~1\Temp\se.dll/spage.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.gipuzkoa.net:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *gipuzkoa.net;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {532BDAEE-BC6A-4571-A91B-4B88973E5780} - C:\WINNT\system32\aaon.dll
O2 - BHO: (no name) - {54473549-4094-5125-4FBA-7174CA21044D} - (no file)
O2 - BHO: DIALux 3.1 ULDBrowserHelper Class - {69AB812A-8CE4-4BF3-B49B-3B60A9F31FB2} - C:\Archivos de programa\DIALux\System\DLXShellExtension.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\AVTC\ClShield.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Sxplog] C:\SxpInst\sxpstub.exe
O4 - HKLM\..\Run: [SDJobCheck] triggusr.exe
O4 - Startup: Acceso directo a Microsoft Outlook.lnk = ?
O4 - Startup: Barra de acceso directo de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\MSOFFICE.EXE
O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O16 - DPF: {B4F32846-56DD-4CF5-94FD-17DE1A12E9EB} (CounterX Class) - http://t058.com/cabtest/counter.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = sare.gipuzkoa.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C62E9D7-0614-4563-A510-5C9F906786BB}: NameServer = 192.168.160.11,192.168.161.12

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = sare.gipuzkoa.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = sare.gipuzkoa.net
O18 - Protocol: bega - {A57721C9-B905-49B3-8BCA-B99FBB8C627E} - C:\Archivos de programa\Archivos comunes\BEGA\DatabaseTools.dll

O18 - Protocol: dialux - {8352FA4C-39C6-11D3-ADBA-00A0244FB1A2} - C:\Archivos de programa\DIALux\System\DLXToolBox.dll
O18 - Protocol: lledo - {54DB67D8-DE43-4362-BDA8-9C574379CAD5} - C:\Archivos de programa\Archivos comunes\Lledo\DatabaseTools.dll

O18 - Filter: text/html - {0A54DD05-B427-4566-9BA0-79D0DEA295CD} - C:\WINNT\system32\aaon.dll
O18 - Filter: text/plain - {0A54DD05-B427-4566-9BA0-79D0DEA295CD} - C:\WINNT\system32\aaon.dll
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - Service: CA-License Client (CA_LIC_CLNT) - Unknown owner - C:\WINNT\Lic98Rmt.exe
O23 - Service: CA-License Server (CA_LIC_SRVR) - Unknown owner - C:\WINNT\Lic98RmtD.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: DM Primer (DMPrimer) - Unknown owner - C:\Archivos de programa\CA\SharedComponents\DesktopCommonServices\DMPrimer\dmprimer.exe" -DMPRIMER_SERVICE_: (file missing)

O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINNT\SYSTEM32\DWRCS.EXE
O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\WINNT\LogWatNT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Panda AntiSpam Server Service (PasSrv) - Unknown owner - C:\Archivos de programa\Panda Software\AVTC\PasSrv.exe

O23 - Service: Panda AdminSecure Communications Agent (PAVAGENTE) - Panda Software - C:\Archivos de programa\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe

O23 - Service: Panda AdminSecure Scheduler (PavAtScheduler) - Panda Software - C:\Archivos de programa\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda Antivirus Report Service (PavReport) - Panda Software - C:\Archivos de programa\Panda Software\Panda Administrator 3\PavReport\PavReport.exe

O23 - Service: Panda Antivirus Service (PavSrv) - Panda Software - C:\Archivos de programa\Panda Software\AVTC\PavSrv50.exe

O23 - Service: Panda IManager Service (PsImSvc) - Panda Software Internacional - C:\Archivos de programa\Panda Software\AVTC\PsImSvc.exe

O23 - Service: Unicenter Remote Control Host (rcHost) - Computer Associates International, Inc. - C:\Archivos de programa\CA\Unicenter Remote Control\rcHost.exe

O23 - Service: Unicenter Software Delivery (SDService) - Computer Associates International, Inc. - C:\Archivos de programa\CA\Unicenter Software Delivery\BIN\SDSERV.EXE

O23 - Service: Remote Procedure Call (RPC) Helper (�_%AFå___¤¶À¨) - Unknown owner - C:\WINNT\system32\msik.exe (file missing)

Pasar un buen antivirus on line, luego ejecuta el AdAware Se o el Microsoft Antispyware (actualizados), para luego pegar un nuevo log.
Y el Disk Cleaner para borrar:
Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.
disk cleaner
http://www.xs4all.nl/~mp2004/
Antivirus on line:
http://www.bitdefender.com/scan8/
http://www.ravantivirus.com/scan/
http://www.windowsecurity.com/trojanscan/
Bajar AdAwareSe 1.06 :
http://fileforum.betanews.com/download/Ada...nal/965718306/1

Bajar Microsoft Antispyware:
http://microsoft-antispyware.uptodown.com/
Bajar trial ewido security suite:
http://www.ewido.net/en/download/
Actualizar el SO o el IE:
http://www.windowsupdate.com
La limpieza la tienes que realizar deshabilitando Restaurar sistema y en modo Seguro( si tienes XP o ME ) ( el scan on line "con funciones de red" en XP).
Si no sabes cómo hacer algunos de los procedimientos mira esto:
http://www.arwinianos.net/foro/index.php?topic=39

Salu2
Caito

Caito: He de confesarte con harto pesar que no ha funciondo. Tal y como comentaba en mi primer mensaje, la imposibilidad de acceso a internet mediante el explorer evita que pueda pasar el antivirus on-line. Ahora bien , frecuentemente me aparece un aviso - como los de Panda - en la parte inferior derecha de la pantalla con el siguiente texto:

"Se ha detectado software publicitario ( Adware ) y se ha impedido el acceso al archivo.
No se ha eliminado el archivo por estar activada la opción " impedir acceso al archivo " de la protección automática antivirus.
Nombre del Adware: Adware/SearchExe

Ubicación: C:\Documents and settings\Usuario1\Configuración local\temp\se.dll

Imprime o copia estas indicaciones!!!

Si no sabes cómo hacer algunos de los procedimientos mira esto:
http://www.arwinianos.net/foro/index.php?topic=39


Antes que nada guarda el Hijack en su propia carpeta por ej: C>Limpiar>Hijack
Desactiva el Microsoft Antispiware (luego de la limpieza lo vuelves a activar)

Baja este programa:
disk cleaner
http://www.xs4all.nl/~mp2004/
Y el AdAware Se 1.06 :
http://fileforum.betanews.com/download/Ada...nal/965718306/1
Desconéctate físicamente de Internet (cables,ADSL, o Dial Up modem a tu PC )

Desactiva Restaurar Sistema
Reinicia en Modo seguro
Haz que se vean todos los archivos.
Cierra todas las aplicaciones
Ve a Inicio >> Ejecutar >> msconfig >> pestaña Servicios >> selecciona la casilla Ocultar todos los servicios de Microsoft >> y luego desmarca la casilla de la entrada O23 - Service: Remote Procedure Call (RPC) Helper (�_%AFå___¤À¨)
Lanza el Hijack
Scan y luego Fix a estas:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\USUARIO1\CONFIG~1\Temp\se.dll/spage.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\USUARIO1\CONFIG~1\Temp\se.dll/spage.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {532BDAEE-BC6A-4571-A91B-4B88973E5780} - C:\WINNT\system32\aaon.dll
O2 - BHO: (no name) - {54473549-4094-5125-4FBA-7174CA21044D} - (no file)
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O16 - DPF: {B4F32846-56DD-4CF5-94FD-17DE1A12E9EB} (CounterX Class) - http://t058.com/cabtest/counter.cab
O18 - Filter: text/html - {0A54DD05-B427-4566-9BA0-79D0DEA295CD} - C:\WINNT\system32\aaon.dll
O18 - Filter: text/plain - {0A54DD05-B427-4566-9BA0-79D0DEA295CD} - C:\WINNT\system32\aaon.dll
O23 - Service: Remote Procedure Call (RPC) Helper (�_%AFå___¤À¨) - Unknown owner - C:\WINNT\system32\msik.exe (file missing)
Cierra el Hijack.
Busca estos archivos y los eliminas:
C:\DOCUME~1\USUARIO1\CONFIG~1\Temp\se.dll
C:\WINNT\system32\aaon.dll
C:\WINNT\system32\msik.exe
Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.
Vacía la Papelera
Lanza el AdAware Se 1.06 actualizado al 13/06/05
Activa el Mic. Anti.Spi. y ejecútalo
Reinicia normal, conecta Internet y pega un nuevo log
Salu2
Caito
Pd: si al reiniciar y sacar un nuevo log las entradas 015 siguen apareciendo haz esto :
Baja este programa:
http://ralphcaddell.com/Uploads/deldomains.zip
Descomprímelo, te quedará este archivo:

DelDomains.inf
Click derecho sobre este y selecciona Install
Ya está.
Reinicia y saca un nuevo log.

Hola otra vez a todos:

Continúo sin poder acceder a Internet través del iExplorer.

Tras seguir fielmente todas las indicciones,al llegar al apartado

"Reinicia en Modo seguro "

Me encontré con que pedía el "login" y el "password". hasta aquí todo normal, pero lo que me asombró es que introduciendo el mismo "password" que sirve para conectarse a la red !! No servía para continuar la ejecución en modo seguro !! ( Ya para entonces se había procedido a la desconexión física del equipo de la red ). El caso es que no se pudo continuar.

El sistema operativo es el Windows 2000 Professional NT.( Es una red corporativa )

¿ Qué alternativas tengo ?

Gracias.

Olvidate de Restaurar sistema y haz la limpieza en modo normal.
Salu2
Caito

Hola otra vez, Caíto: Tras seguir fielmente las indicaciones, me encontré con que al llegar al punto:

"Busca estos archivos y los eliminas:
C:\DOCUME~1\USUARIO1\CONFIG~1\Temp\se.dll
C:\WINNT\system32\aaon.dll
C:\WINNT\system32\msik.exe"

No me fué permitido borrar ninguno de los tres, por lo que el proceso está aún parado. ¿ Qué alternativa(s) tengo ?

Salu2.

P.D: !! El nuevo log !!

Logfile of HijackThis v1.99.1
Scan saved at 14:23:21, on 24/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\Archivos de programa\CA\SharedComponents\DesktopCommonServices\DMPrimer\dmprimer.exe
C:\WINNT\LogWatNT.exe
C:\WINNT\system32\nvsvc32.exe
C:\Archivos de programa\Panda Software\AVTC\PasSrv.exe
C:\Archivos de programa\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
C:\Archivos de programa\Panda Software\Panda Administrator 3\Pav_Agent\pagentwd.exe
C:\Archivos de programa\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
C:\Archivos de programa\Panda Software\AVTC\PavSrv50.exe
C:\Archivos de programa\Panda Software\AVTC\AVENGINE.EXE
C:\Archivos de programa\Panda Software\AVTC\PsImSvc.exe
C:\Archivos de programa\CA\Unicenter Remote Control\rcHost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Archivos de programa\CA\Unicenter Software Delivery\BIN\SDSERV.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Archivos de programa\CA\Unicenter Software Delivery\BIN\TRIGGAG.EXE
C:\Archivos de programa\Panda Software\AVTC\WebProxy.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Archivos de programa\Panda Software\AVTC\ClShield.exe
C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
C:\SxpInst\sxplog32.exe
C:\Archivos de programa\Microsoft Office\Office\MSOFFICE.EXE
C:\Archivos de programa\Panda Software\AVTC\SRVLOAD.EXE
C:\Archivos de programa\Panda Software\Panda Administrator 3\PavReport\PavReport.exe
C:\Archivos de programa\Microsoft Office\Office\OUTLOOK.EXE
C:\WINNT\system32\MAPISP32.EXE
C:\Archivos de programa\Microsoft Office\Office\winword.exe
C:\Documents and Settings\USUARIO1\Mis documentos\SEGUR\20050407 hijacksThis 1.99.1\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\USUARIO1\CONFIG~1\Temp\se.dll/spage.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\USUARIO1\CONFIG~1\Temp\se.dll/spage.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.gipuzkoa.net:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *gipuzkoa.net;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: DIALux 3.1 ULDBrowserHelper Class - {69AB812A-8CE4-4BF3-B49B-3B60A9F31FB2} - C:\Archivos de programa\DIALux\System\DLXShellExtension.dll

O2 - BHO: (no name) - {762EBD21-6682-4EF9-8701-DC737CFA416A} - C:\WINNT\system32\aaon.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\AVTC\ClShield.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Sxplog] C:\SxpInst\sxpstub.exe
O4 - HKLM\..\Run: [SDJobCheck] triggusr.exe
O4 - HKLM\..\Run: [Startup Cleaner] C:\Archivos de programa\CM Data Software\CM DiskCleaner\Startup Cleaner.exe
O4 - Startup: Acceso directo a Microsoft Outlook.lnk = ?
O4 - Startup: Barra de acceso directo de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\MSOFFICE.EXE
O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = sare.gipuzkoa.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C62E9D7-0614-4563-A510-5C9F906786BB}: NameServer = 192.168.160.11,192.168.161.12

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = sare.gipuzkoa.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = sare.gipuzkoa.net
O18 - Protocol: bega - {A57721C9-B905-49B3-8BCA-B99FBB8C627E} - C:\Archivos de programa\Archivos comunes\BEGA\DatabaseTools.dll

O18 - Protocol: dialux - {8352FA4C-39C6-11D3-ADBA-00A0244FB1A2} - C:\Archivos de programa\DIALux\System\DLXToolBox.dll
O18 - Protocol: lledo - {54DB67D8-DE43-4362-BDA8-9C574379CAD5} - C:\Archivos de programa\Archivos comunes\Lledo\DatabaseTools.dll

O18 - Filter: text/html - {348CD181-FDA0-4061-AAFE-599735DF7A00} - C:\WINNT\system32\aaon.dll
O18 - Filter: text/plain - {348CD181-FDA0-4061-AAFE-599735DF7A00} - C:\WINNT\system32\aaon.dll
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - Service: CA-License Client (CA_LIC_CLNT) - Unknown owner - C:\WINNT\Lic98Rmt.exe
O23 - Service: CA-License Server (CA_LIC_SRVR) - Unknown owner - C:\WINNT\Lic98RmtD.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: DM Primer (DMPrimer) - Unknown owner - C:\Archivos de programa\CA\SharedComponents\DesktopCommonServices\DMPrimer\dmprimer.exe" -DMPRIMER_SERVICE_: (file missing)

O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINNT\SYSTEM32\DWRCS.EXE
O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\WINNT\LogWatNT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Panda AntiSpam Server Service (PasSrv) - Unknown owner - C:\Archivos de programa\Panda Software\AVTC\PasSrv.exe

O23 - Service: Panda AdminSecure Communications Agent (PAVAGENTE) - Panda Software - C:\Archivos de programa\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe

O23 - Service: Panda AdminSecure Scheduler (PavAtScheduler) - Panda Software - C:\Archivos de programa\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda Antivirus Report Service (PavReport) - Panda Software - C:\Archivos de programa\Panda Software\Panda Administrator 3\PavReport\PavReport.exe

O23 - Service: Panda Antivirus Service (PavSrv) - Panda Software - C:\Archivos de programa\Panda Software\AVTC\PavSrv50.exe

O23 - Service: Panda IManager Service (PsImSvc) - Panda Software Internacional - C:\Archivos de programa\Panda Software\AVTC\PsImSvc.exe

O23 - Service: Unicenter Remote Control Host (rcHost) - Computer Associates International, Inc. - C:\Archivos de programa\CA\Unicenter Remote Control\rcHost.exe

O23 - Service: Unicenter Software Delivery (SDService) - Computer Associates International, Inc. - C:\Archivos de programa\CA\Unicenter Software Delivery\BIN\SDSERV.EXE

O23 - Service: Remote Procedure Call (RPC) Helper (�%AF夶À¨) - Unknown owner - C:\WINNT\system32\msik.exe (file missing)

Por favor da más información, toda la información que puedas darnos, porque la mayoría de las veces sólo nos dices que no se pudo, pero también nos interesa saber los mensajes exactos que te aparecen.



Quieres decir que no puedes navegar pero si puedes usar el correo (por protocolos POP3 y SMTP con un gestor de correos supongo )

¿El Modo Seguro te ha pedido la contraseña? Yo no había escuchado de eso, a lo mejor por ser Windows 2000 NT.



Tendrás que revisar la configuración de Panda, y también revisar que tu software firewall, si es que tienes porque creo que tu Panda sólo es el AV, no esté bloqueando el acceso a Internet.

¿Te es conocido este dominio: sare.gipuzkoa.net?

Sería recomendable que tuvieras a mano estas instrucciones sin necesidad de estar en línea mientras las realizas, si lo prefieres imprime estas instrucciones (te recomiendo usar el botón Imprimir de este post).

Nota: Si desconoces alguno de los procedimientos que te pido (generalmente los remarcados en negritas), visita el siguiente enlace donde se explica más detalladamente esos procedimientos:

http://www.arwinianos.net/foro/index.php?topic=39

Descarga los siguientes programas en la misma carpeta que HijackThis:

Disk Cleaner
LSP-Fix
Pocket KillBox

Desactiva la Opción de Restaurar el Sistema. Una vez que tu sistema esté limpio puedes volver a activarlo.

Habilita a todas las carpetas para que Muestren Carpetas y Archivos Ocultos

Reinicia en Modo Seguro si puedes.

Abre HijackThis, asegúrate que sea el único programa abierto en la Barra de Tareas y selecciona las siguientes entradas (las que estén presentes):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\USUARIO1\CONFIG~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\USUARIO1\CONFIG~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {762EBD21-6682-4EF9-8701-DC737CFA416A} - C:\WINNT\system32\aaon.dll

O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)

O18 - Filter: text/html - {348CD181-FDA0-4061-AAFE-599735DF7A00} - C:\WINNT\system32\aaon.dll
O18 - Filter: text/plain - {348CD181-FDA0-4061-AAFE-599735DF7A00} - C:\WINNT\system32\aaon.dll

O23 - Service: Remote Procedure Call (RPC) Helper (�%AF夶À¨) - Unknown owner - C:\WINNT\system32\msik.exe (file missing)

Y da click en el botón "Fix Checked"

Borra todos los archivos temporales con Disk Cleaner.

Instala el TZ-Kill.inf, para ello da click derecho sobre él y selecciona "Instalar", de esa forma se eliminarán definitivamente las entradas O15.

Ahora dirígete a Inicio >> Ejecutar >> services.msc >> e identifica los siguientes servicios:

Remote Procedure Call (RPC) Helper (�%AF夶À¨) - Unknown owner - C:\WINNT\system32\msik.exe

Da click derecho sobre ellos y selecciona Propiedades, si el servicio está Iniciado, entonces deténlo y cambia su tipo de inicio a Deshabilitado y acepta.

Ahora con HijackThis ve a Config >> Misc Tools >> Delete a NT Service y escribes el nombre del servicio:

�%AF夶À¨

Y aceptas. Tiene caracteres raros, intenta copiando y pegando el nombre, es probable que no lo puedas borrar, no estoy seguro, pero al menos cambiar su arranque a Deshabilitado.

Ejecuta Pocket KillBox, selecciona la opción "Delete on Reboot" y ahora da click en el botón de la carpeta amarilla y navega hasta encontrar los archivos que te mencionaré enseguida. Cuando selecciones un archivo presiona el botón "Delete File" (es el botón rojo con la cruz blanca). Te dirá que borrará el archivo en el próximo reinicio, acepta, y a continuación te preguntará si deseas reiniciar ahora, presiona "No", y regresarás a la ventana inicial donde podrás seguir los mismos pasos para borrar los demás archivos en caso de que sean más de uno. Los archivos a borrar son:

C:\DOCUME~1\USUARIO1\CONFIG~1\Temp\se.dll
C:\WINNT\system32\aaon.dll
C:\WINNT\system32\msik.exe

Reinicia el sistema y pruébalo, dime si ha mejorado. Postea otro Log para ver si tu sistema ha quedado limpio de malware.

Saludos
Arwing

Hola a todos otra vez:

Aún no consigo conectarme a Internet, pero creo que algo hemos mejorado:

Os pondré los hechos en orden cronológico

1ª) El dominio al que haciais referencia en vuestro último mensaje (sare.gipuzkoa.net), es un dominio corporativo.

2º) No tenemos ningún firewall instalado.

3º)Después de seguir vuestras instrucciones, me encontré con que el archivo

C:\WINNT\system32\msik.exe

ya no existía, al menos en la búsqueda con el Pocket KillBox. Los otros dos archivos sí fueron borrados por este.

4º) La página de inicio ha sido liberada.

5º) Como os decía arriba, no me permite conectarme a internet, y vuelve salir la dichosa ventanita con el mensaje:

"Se ha detectado software publicitario ( Adware ) y se ha impedido el acceso al archivo.
No se ha eliminado el archivo por estar activada la opción " impedir acceso al archivo " de la protección automática antivirus.
Nombre del Adware: Adware/SearchExe".

Lo peor del tema es que no disponemos de acceso a la configuración de Panda ( Es privilegio exclusivo del administrador )

De todas maneras, os inserto el nuevo log para que le echeis un vistazo. Gracias por todo.




Logfile of HijackThis v1.99.1
Scan saved at 14:14:16, on 05/07/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\Archivos de programa\CA\SharedComponents\DesktopCommonServices\DMPrimer\dmprimer.exe
C:\WINNT\Explorer.EXE
C:\WINNT\LogWatNT.exe
C:\WINNT\system32\nvsvc32.exe
C:\Archivos de programa\Panda Software\AVTC\PasSrv.exe
C:\Archivos de programa\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
C:\Archivos de programa\Panda Software\AVTC\ClShield.exe
C:\SxpInst\sxplog32.exe
C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
C:\Archivos de programa\Microsoft Office\Office\outlook.exe
C:\Archivos de programa\Microsoft Office\Office\MSOFFICE.EXE
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINNT\system32\MAPISP32.EXE
C:\Archivos de programa\Panda Software\AVTC\SRVLOAD.EXE
C:\Archivos de programa\Panda Software\Panda Administrator 3\Pav_Agent\pagentwd.exe
C:\Archivos de programa\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
C:\Archivos de programa\Panda Software\AVTC\PavSrv50.exe
C:\Archivos de programa\Panda Software\AVTC\AVENGINE.EXE
C:\Archivos de programa\Panda Software\AVTC\PsImSvc.exe
C:\Archivos de programa\CA\Unicenter Remote Control\rcHost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Archivos de programa\CA\Unicenter Software Delivery\BIN\SDSERV.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Archivos de programa\CA\Unicenter Software Delivery\BIN\TRIGGAG.EXE
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Archivos de programa\Panda Software\AVTC\WebProxy.exe
C:\WINNT\system32\msiexec.exe
C:\Archivos de programa\Microsoft Office\Office\winword.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\Archivos de programa\Panda Software\Panda Administrator 3\PavReport\PavReport.exe
C:\Archivos de programa\Panda Software\AVTC\avciman.exe
C:\Documents and Settings\USUARIO1\Mis documentos\SEGUR\20050407 hijacksThis 1.99.1\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\USUARIO1\CONFIG~1\Temp\se.dll/spage.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://jasmine.gipuzkoa.net/servlet/portal/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\USUARIO1\CONFIG~1\Temp\se.dll/spage.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.gipuzkoa.net:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *gipuzkoa.net;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: DIALux 3.1 ULDBrowserHelper Class - {69AB812A-8CE4-4BF3-B49B-3B60A9F31FB2} - C:\Archivos de programa\DIALux\System\DLXShellExtension.dll

O2 - BHO: (no name) - {8C018C37-6AE7-4DCE-8166-7D2238D0F91F} - C:\WINNT\system32\aaon.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\AVTC\ClShield.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Sxplog] C:\SxpInst\sxpstub.exe
O4 - HKLM\..\Run: [SDJobCheck] triggusr.exe
O4 - Startup: Acceso directo a Microsoft Outlook.lnk = ?
O4 - Startup: Barra de acceso directo de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\MSOFFICE.EXE
O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = sare.gipuzkoa.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C62E9D7-0614-4563-A510-5C9F906786BB}: NameServer = 192.168.160.11,192.168.161.12

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = sare.gipuzkoa.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = sare.gipuzkoa.net
O18 - Protocol: bega - {A57721C9-B905-49B3-8BCA-B99FBB8C627E} - C:\Archivos de programa\Archivos comunes\BEGA\DatabaseTools.dll

O18 - Protocol: dialux - {8352FA4C-39C6-11D3-ADBA-00A0244FB1A2} - C:\Archivos de programa\DIALux\System\DLXToolBox.dll
O18 - Protocol: lledo - {54DB67D8-DE43-4362-BDA8-9C574379CAD5} - C:\Archivos de programa\Archivos comunes\Lledo\DatabaseTools.dll

O18 - Filter: text/html - {407E7279-CB12-4737-AC52-42605E74E3DB} - C:\WINNT\system32\aaon.dll
O18 - Filter: text/plain - {407E7279-CB12-4737-AC52-42605E74E3DB} - C:\WINNT\system32\aaon.dll
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - Service: CA-License Client (CA_LIC_CLNT) - Unknown owner - C:\WINNT\Lic98Rmt.exe
O23 - Service: CA-License Server (CA_LIC_SRVR) - Unknown owner - C:\WINNT\Lic98RmtD.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: DM Primer (DMPrimer) - Unknown owner - C:\Archivos de programa\CA\SharedComponents\DesktopCommonServices\DMPrimer\dmprimer.exe" -DMPRIMER_SERVICE_: (file missing)

O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINNT\SYSTEM32\DWRCS.EXE
O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\WINNT\LogWatNT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Panda AntiSpam Server Service (PasSrv) - Unknown owner - C:\Archivos de programa\Panda Software\AVTC\PasSrv.exe

O23 - Service: Panda AdminSecure Communications Agent (PAVAGENTE) - Panda Software - C:\Archivos de programa\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe

O23 - Service: Panda AdminSecure Scheduler (PavAtScheduler) - Panda Software - C:\Archivos de programa\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda Antivirus Report Service (PavReport) - Panda Software - C:\Archivos de programa\Panda Software\Panda Administrator 3\PavReport\PavReport.exe

O23 - Service: Panda Antivirus Service (PavSrv) - Panda Software - C:\Archivos de programa\Panda Software\AVTC\PavSrv50.exe

O23 - Service: Panda IManager Service (PsImSvc) - Panda Software Internacional - C:\Archivos de programa\Panda Software\AVTC\PsImSvc.exe

O23 - Service: Unicenter Remote Control Host (rcHost) - Computer Associates International, Inc. - C:\Archivos de programa\CA\Unicenter Remote Control\rcHost.exe

O23 - Service: Unicenter Software Delivery (SDService) - Computer Associates International, Inc. - C:\Archivos de programa\CA\Unicenter Software Delivery\BIN\SDSERV.EXE

Imprime o copia estas indicaciones!!!

Si no sabes cómo hacer algunos de los procedimientos mira esto:
http://www.trucoswindows.net/foro/showtopic-25181.html

Antes que nada guarda el Hijack en su propia carpeta por ej: C>Limpiar>Hijack

Baja este programa:
disk cleaner

http://www.trucoswindows.net/downloadview-...aner_1.5.5.html

Y el AdAware Se 1.06 :
http://www.trucoswindows.net/downloadview-....html#dldetails
Desconéctate físicamente de Internet (cables,ADSL, o Dial Up modem a tu PC )


Reinicia en Modo seguro o A prueba de Fallos
Haz que se vean todos los archivos.
Cierra todas las aplicaciones
Lanza el Hijack
Scan y luego Fix a estas:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\USUARIO1\CONFIG~1\Temp\se.dll/spage.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\USUARIO1\CONFIG~1\Temp\se.dll/spage.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {8C018C37-6AE7-4DCE-8166-7D2238D0F91F} - C:\WINNT\system32\aaon.dll (file missing)
O18 - Filter: text/html - {407E7279-CB12-4737-AC52-42605E74E3DB} - C:\WINNT\system32\aaon.dll
O18 - Filter: text/plain - {407E7279-CB12-4737-AC52-42605E74E3DB} - C:\WINNT\system32\aaon.dll
Cierra el Hijack.
Busca estos archivos y los eliminas:
C:\DOCUME~1\USUARIO1\CONFIG~1\Temp\se.dll
C:\WINNT\system32\aaon.dll
Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.
Vacía la Papelera
Lanza el AdAware Se 1.06 actualizado al 30/06/05
Reinicia normal, conecta Internet y pega un nuevo log
Salu2
Caito
Pd:
reconoces estos números como de tu proovedor de internet :
192.168.160.11
192.168.161.12
Info :
OrgName: Internet Assigned Numbers Authority
OrgID: IANA
Address: 4676 Admiralty Way, Suite 330
City: Marina del Rey
StateProv: CA
PostalCode: 90292-6695
Country: US

NetRange: 192.168.0.0 - 192.168.255.255
CIDR: 192.168.0.0/16
NetName: IANA-CBLK1
NetHandle: NET-192-168-0-0-1
Parent: NET-192-0-0-0-0
NetType: IANA Special Use
NameServer: BLACKHOLE-1.IANA.ORG
NameServer: BLACKHOLE-2.IANA.ORG
Comment: This block is reserved for special purposes.
Comment: Please see RFC 1918 for additional information.
Comment:
RegDate: 1994-03-15
Updated: 2002-09-16

OrgAbuseHandle: IANA-IP-ARIN
OrgAbuseName: Internet Corporation for Assigned Names and Number
OrgAbusePhone: +1-310-301-5820
OrgAbuseEmail: abuse@iana.org

OrgTechHandle: IANA-IP-ARIN
OrgTechName: Internet Corporation for Assigned Names and Number
OrgTechPhone: +1-310-301-5820
OrgTechEmail: abuse@iana.org

Buenas tardes todos:

! Ha funcionado ! Todo ha vuelto a la normalidad

No me queda más que daros las gracias por tan brillante trabajo.

! Ah, sí ! El log:




-----




Logfile of HijackThis v1.99.1
Scan saved at 12:56:03, on 07/07/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\Archivos de programa\CA\SharedComponents\DesktopCommonServices\DMPrimer\dmprimer.exe
C:\WINNT\LogWatNT.exe
C:\WINNT\system32\nvsvc32.exe
C:\Archivos de programa\Panda Software\AVTC\PasSrv.exe
C:\Archivos de programa\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
C:\Archivos de programa\Panda Software\Panda Administrator 3\Pav_Agent\pagentwd.exe
C:\Archivos de programa\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
C:\Archivos de programa\Panda Software\AVTC\PavSrv50.exe
C:\Archivos de programa\Panda Software\AVTC\AVENGINE.EXE
C:\Archivos de programa\Panda Software\AVTC\PsImSvc.exe
C:\Archivos de programa\CA\Unicenter Remote Control\rcHost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Archivos de programa\CA\Unicenter Software Delivery\BIN\SDSERV.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Archivos de programa\CA\Unicenter Software Delivery\BIN\TRIGGAG.EXE
C:\WINNT\Explorer.EXE
C:\Archivos de programa\Panda Software\AVTC\ClShield.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\SxpInst\sxplog32.exe
C:\Archivos de programa\Microsoft Office\Office\outlook.exe
C:\Archivos de programa\Microsoft Office\Office\MSOFFICE.EXE
C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\Archivos de programa\Panda Software\AVTC\SRVLOAD.EXE
C:\Archivos de programa\Panda Software\AVTC\WebProxy.exe
C:\WINNT\system32\MAPISP32.EXE
C:\WINNT\system32\svchost.exe
C:\Archivos de programa\Microsoft Office\Office\winword.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\ARCHIV~1\PANDAS~1\PANDAA~1\Tools\UClient.exe
C:\Documents and Settings\USUARIO1\Mis documentos\SEGUR\20050407 hijacksThis 1.99.1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://jasmine.gipuzkoa.net/servlet/portal/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.gipuzkoa.net:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *gipuzkoa.net;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: DIALux 3.1 ULDBrowserHelper Class - {69AB812A-8CE4-4BF3-B49B-3B60A9F31FB2} - C:\Archivos de programa\DIALux\System\DLXShellExtension.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\AVTC\ClShield.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Sxplog] C:\SxpInst\sxpstub.exe
O4 - HKLM\..\Run: [SDJobCheck] triggusr.exe
O4 - Startup: Acceso directo a Microsoft Outlook.lnk = ?
O4 - Startup: Barra de acceso directo de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\MSOFFICE.EXE
O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = sare.gipuzkoa.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C62E9D7-0614-4563-A510-5C9F906786BB}: NameServer = 192.168.160.11,192.168.161.12

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = sare.gipuzkoa.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = sare.gipuzkoa.net
O18 - Protocol: bega - {A57721C9-B905-49B3-8BCA-B99FBB8C627E} - C:\Archivos de programa\Archivos comunes\BEGA\DatabaseTools.dll

O18 - Protocol: dialux - {8352FA4C-39C6-11D3-ADBA-00A0244FB1A2} - C:\Archivos de programa\DIALux\System\DLXToolBox.dll
O18 - Protocol: lledo - {54DB67D8-DE43-4362-BDA8-9C574379CAD5} - C:\Archivos de programa\Archivos comunes\Lledo\DatabaseTools.dll

O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - Service: CA-License Client (CA_LIC_CLNT) - Unknown owner - C:\WINNT\Lic98Rmt.exe
O23 - Service: CA-License Server (CA_LIC_SRVR) - Unknown owner - C:\WINNT\Lic98RmtD.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: DM Primer (DMPrimer) - Unknown owner - C:\Archivos de programa\CA\SharedComponents\DesktopCommonServices\DMPrimer\dmprimer.exe" -DMPRIMER_SERVICE_: (file missing)

O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINNT\SYSTEM32\DWRCS.EXE
O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\WINNT\LogWatNT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Panda AntiSpam Server Service (PasSrv) - Unknown owner - C:\Archivos de programa\Panda Software\AVTC\PasSrv.exe

O23 - Service: Panda AdminSecure Communications Agent (PAVAGENTE) - Panda Software - C:\Archivos de programa\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe

O23 - Service: Panda AdminSecure Scheduler (PavAtScheduler) - Panda Software - C:\Archivos de programa\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda Antivirus Report Service (PavReport) - Panda Software - C:\Archivos de programa\Panda Software\Panda Administrator 3\PavReport\PavReport.exe

O23 - Service: Panda Antivirus Service (PavSrv) - Panda Software - C:\Archivos de programa\Panda Software\AVTC\PavSrv50.exe

O23 - Service: Panda IManager Service (PsImSvc) - Panda Software Internacional - C:\Archivos de programa\Panda Software\AVTC\PsImSvc.exe

O23 - Service: Unicenter Remote Control Host (rcHost) - Computer Associates International, Inc. - C:\Archivos de programa\CA\Unicenter Remote Control\rcHost.exe

O23 - Service: Unicenter Software Delivery (SDService) - Computer Associates International, Inc. - C:\Archivos de programa\CA\Unicenter Software Delivery\BIN\SDSERV.EXE

Está limpio
Tema solucionado.
Salu2
Caito