Logfile of HijackThis v1.99.1
Scan saved at 13:31:11, on 19-08-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\ARCHIV~1\Iomega\System32\AppServices.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\system32\PROMon.exe
C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC1.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\NMSSvc.exe
C:\Archivos de programa\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\Archivos de programa\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Archivos de programa\Sony Handheld\HOTSYNC.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Personal Fco\Programas de la red\HijackThis.exe
C:\WINDOWS\system32\HPBPRO.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.top20results.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {008DB894-99ED-445D-8547-0E7C9808898D} - C:\WINDOWS\mslagent\4b_1,0,1,2_mslagent.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: AzEntretien Class - {0d2def3a-f4f1-42ec-ac4f-132e7ba6e292} - %SystemRoot%\azentretien.dll (file missing)
O2 - BHO: (no name) - {35AD640C-E612-0B96-8377-615505F47347} - C:\WINDOWS\System32\itdy.dll (file missing)
O2 - BHO: (no name) - {B9398BC5-C256-453B-A5F1-8D60272DA3C1} - C:\WINDOWS\System32\pcbhn.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINDOWS\azesearch4.dll
O3 - Toolbar: AZE Search - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\azesearch4.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC1.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [mouseElf] C:\ARCHIV~1\GENIUS~1\mouseElf.exe
O4 - HKLM\..\Run: [Wxp4] C:\WINDOWS\system32\Norton Update.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [fizod] C:\WINDOWS\fizod.exe
O4 - HKLM\..\Run: [GnYCl1] C:\WINDOWS\vgqujmo.exe
O4 - HKLM\..\Run: [mviv] C:\WINDOWS\mviv.exe
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Archivos de programa\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Archivos de programa\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [KAZAA] C:\Archivos de programa\Kazaa\kazaa.exe /SYSTRAY
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Emwz] C:\WINDOWS\System32\??rss.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: HotSync Manager.lnk = C:\Archivos de programa\Sony Handheld\HOTSYNC.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Search - http://kz.bar.need2find.com/KZ/menusearch.html?p=KZ
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - https://www-3.ibm.com/pc/support/access/asl...nt/IbmEgath.cab
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = espac.cl
O17 - HKLM\Software\..\Telephony: DomainName = espac.cl
O17 - HKLM\System\CCS\Services\Tcpip\..\{186FC7E9-10BE-4302-AD13-B2A7BEBDC69F}: NameServer = 200.54.144.227
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = espac.cl
O17 - HKLM\System\CS1\Services\Tcpip\..\{186FC7E9-10BE-4302-AD13-B2A7BEBDC69F}: NameServer = 200.54.144.227
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = espac.cl
O17 - HKLM\System\CS2\Services\Tcpip\..\{186FC7E9-10BE-4302-AD13-B2A7BEBDC69F}: NameServer = 200.54.144.227
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = espac.cl
O17 - HKLM\System\CS3\Services\Tcpip\..\{186FC7E9-10BE-4302-AD13-B2A7BEBDC69F}: NameServer = 200.54.144.227
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\ARCHIV~1\Iomega\System32\AppServices.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Intel® NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

Bajar ewido security suite:
http://www.ewido.net/en/download/
Actualizarlo acá :
http://www.ewido.net/en/download/updates/
configurarlo así:
• During the installation, under "Additional Options" uncheck "Install background guard" and "Install scan via context menu".
• Launch ewido, there should be a big E icon on your desktop, double-click it.
• The program will prompt you to update click the OK button
• The program will now go to the main screen
You will need to update ewido to the latest definition files.
• On the left hand side of the main screen click update
• Click on Start
The update will start and a progress bar will show the updates being installed.

Once the updates are installed do the following:
• Reboot into Safe Mode, you can do this by restarting your computer, then contiunally tapping F8 until a menu appears. Use your up arrow key to highlight Safe Mode, then hit enter. Then, run Ewido.
• Click on scanner
• Make sure the following boxes are checked before scanning:
o Binder
o Crypter
o Archives
• Click on Start Scan
• Let the program scan the machine
While the scan is in progress you will be prompted to clean files, click OK

Once the scan has completed, there will be a button located on the bottom of the screen named Save report
• Click Save report
• Save the report to your desktop
limpias con este programa, reinicias y pon el reporte de éste y un nuevo log del hijack
Salu2
Caito

---------------------------------------------------------
ewido security suite - Report de exploración
---------------------------------------------------------

+ Creado en: 9:56:22, 22-08-2005
+ Report-Checksum: 7BCC26F

+ Scan result:

C:\data -> TrojanDownloader.IstBar.kc : Limpio con backup
C:\Documents and Settings\ffuentes\Configuración local\Archivos temporales de Internet\Content.IE5\8L6V4DU3\X[1].exe -> Dialer.Generic : Limpio con backup
C:\Documents and Settings\ffuentes\Cookies\ffuentes@2o7[1].txt -> Spyware.Cookie.2o7 : Limpio con backup
C:\Documents and Settings\ffuentes\Cookies\ffuentes@qksrv[2].txt -> Spyware.Cookie.Qksrv : Limpio con backup
C:\Documents and Settings\ffuentes\Cookies\ffuentes@stat.onestat[2].txt -> Spyware.Cookie.Onestat : Limpio con backup
C:\Documents and Settings\ffuentes\Cookies\ffuentes@tradedoubler[2].txt -> Spyware.Cookie.Tradedoubler : Limpio con backup
C:\Program Files\Internet Optimizer\optimize.exe -> TrojanDownloader.Dyfuca.ei : Limpio con backup
C:\Recycled\Q330995.exe -> TrojanDropper.Small.hx : Limpio con backup
C:\WINDOWS\180.exe -> Spyware.WinAD : Limpio con backup
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\rdgCL10.exe -> Dialer.Generic : Limpio con backup
C:\WINDOWS\Downloaded Program Files\CONFLICT.10\rdgCL10.exe -> Dialer.Generic : Limpio con backup
C:\WINDOWS\Downloaded Program Files\CONFLICT.11\rdgCL10.exe -> Dialer.Generic : Limpio con backup
C:\WINDOWS\Downloaded Program Files\CONFLICT.2\rdgCL10.exe -> Dialer.Generic : Limpio con backup
C:\WINDOWS\Downloaded Program Files\CONFLICT.3\rdgCL10.exe -> Dialer.Generic : Limpio con backup
C:\WINDOWS\Downloaded Program Files\CONFLICT.4\rdgCL10.exe -> Dialer.Generic : Limpio con backup
C:\WINDOWS\Downloaded Program Files\CONFLICT.5\rdgCL10.exe -> Dialer.Generic : Limpio con backup
C:\WINDOWS\Downloaded Program Files\CONFLICT.6\rdgCL10.exe -> Dialer.Generic : Limpio con backup
C:\WINDOWS\Downloaded Program Files\CONFLICT.7\rdgCL10.exe -> Dialer.Generic : Limpio con backup
C:\WINDOWS\Downloaded Program Files\CONFLICT.8\rdgCL10.exe -> Dialer.Generic : Limpio con backup
C:\WINDOWS\Downloaded Program Files\CONFLICT.9\rdgCL10.exe -> Dialer.Generic : Limpio con backup
C:\WINDOWS\Downloaded Program Files\rdgCL10.exe -> Dialer.Generic : Limpio con backup
C:\WINDOWS\system32\LiveService_9.dll -> Dialer.Generic : Limpio con backup
C:\WINDOWS\system32\msklive.dll -> TrojanSpy.Mslagent : Limpio con backup
C:\WINDOWS\system32\PLSRemote.exe -> Not-A-Virus.RiskWare.RemoteAdmin.PLSRemot : Limpio con backup
C:\WINDOWS\system32\сѕrss.exe -> Spyware.PurityScan : Limpio con backup
C:\WINDOWS\toolbar.exe -> Trojan.LowZones.f : Limpio con backup
C:\WINDOWS\ys.exe -> TrojanDownloader.IstBar.kc : Limpio con backup


::Fin Report

"limpias con este programa, reinicias y pon el reporte de éste y un nuevo log del hijack"
Salu2
Caito
Pd: sigue en este post no abras +

Logfile of HijackThis v1.99.1
Scan saved at 15:07:34, on 22-08-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\ARCHIV~1\Iomega\System32\AppServices.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\system32\PROMon.exe
C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC1.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\NMSSvc.exe
C:\Archivos de programa\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Archivos de programa\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\Archivos de programa\Sony Handheld\HOTSYNC.EXE
C:\ARCHIV~1\MICROS~2\Office\OUTLOOK.EXE
C:\Archivos de programa\Archivos comunes\System\MAPI\3082\nt\MAPISP32.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Personal Fco\Programas de la red\HijackThis.exe
C:\WINDOWS\system32\HPBPRO.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.top20results.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: AzEntretien Class - {0d2def3a-f4f1-42ec-ac4f-132e7ba6e292} - %SystemRoot%\azentretien.dll (file missing)
O2 - BHO: (no name) - {35AD640C-E612-0B96-8377-615505F47347} - C:\WINDOWS\System32\itdy.dll (file missing)
O2 - BHO: (no name) - {B9398BC5-C256-453B-A5F1-8D60272DA3C1} - C:\WINDOWS\System32\pcbhn.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINDOWS\azesearch4.dll (file missing)
O3 - Toolbar: AZE Search - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\azesearch4.dll (file missing)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC1.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [mouseElf] C:\ARCHIV~1\GENIUS~1\mouseElf.exe
O4 - HKLM\..\Run: [Wxp4] C:\WINDOWS\system32\Norton Update.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [fizod] C:\WINDOWS\fizod.exe
O4 - HKLM\..\Run: [GnYCl1] C:\WINDOWS\vgqujmo.exe
O4 - HKLM\..\Run: [mviv] C:\WINDOWS\mviv.exe
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Archivos de programa\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Archivos de programa\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [KAZAA] C:\Archivos de programa\Kazaa\kazaa.exe /SYSTRAY
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Emwz] C:\WINDOWS\System32\??rss.exe
O4 - Startup: HotSync Manager.lnk = C:\Archivos de programa\Sony Handheld\HOTSYNC.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Search - http://kz.bar.need2find.com/KZ/menusearch.html?p=KZ
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.skoobidoo.com

---------------------------------------------------------
ewido security suite - Report de exploración
---------------------------------------------------------

+ Creado en: 15:43:29, 22-08-2005
+ Report-Checksum: 98EEFF18

+ Scan result:

HKU\S-1-5-21-1757981266-507921405-682003330-1141\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000010-6F7D-442C-93E3-4A4827C2E4C8} -> Spyware.InternetOptimizer : Limpio con backup
HKU\S-1-5-21-1757981266-507921405-682003330-1141\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00320615-B6C2-40A6-8F99-F1C52D674FAD} -> Spyware.Transponder : Limpio con backup
HKU\S-1-5-21-1757981266-507921405-682003330-1141\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{008DB894-99ED-445D-8547-0E7C9808898D} -> Spyware.Slagent : Limpio con backup
HKU\S-1-5-21-1757981266-507921405-682003330-1141\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{10E42047-DEB9-4535-A118-B3F6EC39B807} -> Spyware.SideFind : Limpio con backup
HKU\S-1-5-21-1757981266-507921405-682003330-1141\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -> Spyware.WinFavorites : Limpio con backup
HKU\S-1-5-21-1757981266-507921405-682003330-1141\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{25D8BACF-3DE2-4B48-AE22-D659B8D835B0} -> Spyware.RXToolbar : Limpio con backup
HKU\S-1-5-21-1757981266-507921405-682003330-1141\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30CE93AE-4987-483C-9ABE-F2BD5301AB70} -> Spyware.KeenValue : Limpio con backup
HKU\S-1-5-21-1757981266-507921405-682003330-1141\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E} -> Spyware.NewDotNet : Limpio con backup
HKU\S-1-5-21-1757981266-507921405-682003330-1141\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4D1C4E81-A32A-416B-BCDB-33B3EF3617D3} -> Spyware.Need2Find : Limpio con backup
HKU\S-1-5-21-1757981266-507921405-682003330-1141\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4E7BD74F-2B8D-469E-90F0-F66AB581A933} -> Spyware.MyWebSearch : Limpio con backup
HKU\S-1-5-21-1757981266-507921405-682003330-1141\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7B55BB05-0B4D-44FD-81A6-B136188F5DEB} -> Spyware.CoolWebSearch : Limpio con backup
HKU\S-1-5-21-1757981266-507921405-682003330-1141\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7C559105-9ECF-42B8-B3F7-832E75EDD959} -> Spyware.ISTBar : Limpio con backup
HKU\S-1-5-21-1757981266-507921405-682003330-1141\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{86227D9C-0EFE-4F8A-AA55-30386A3F5686} -> Spyware.YourSiteBar : Limpio con backup
HKU\S-1-5-21-1757981266-507921405-682003330-1141\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9E98E84C-79E1-49C3-82EB-798FCD552EFB} -> Dialer.Generic : Limpio con backup
HKU\S-1-5-21-1757981266-507921405-682003330-1141\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A3FDD654-A057-4971-9844-4ED8E67DBBB8} -> Spyware.ISTBar : Limpio con backup
HKU\S-1-5-21-1757981266-507921405-682003330-1141\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C68AE9C0-0909-4DDC-B661-C1AFB9F5AE50} -> Dialer.Generic : Limpio con backup
HKU\S-1-5-21-1757981266-507921405-682003330-1141\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EFB22865-F3BC-4309-ADFA-C8E078A7F762} -> Dialer.Generic : Limpio con backup
HKU\S-1-5-21-1757981266-507921405-682003330-1141\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F4E04583-354E-4076-BE7D-ED6A80FD66DA} -> Spyware.BargainBuddy : Limpio con backup
HKU\S-1-5-21-1757981266-507921405-682003330-1141\Software\Need2Find -> Spyware.Need2Find : Limpio con backup
HKU\S-1-5-21-1757981266-507921405-682003330-1141\Software\Need2Find\bar -> Spyware.Need2Find : Limpio con backup
HKU\S-1-5-21-1757981266-507921405-682003330-1141\Software\RX Toolbar -> Spyware.RXToolbar : Limpio con backup


::Fin Report

Imprime o copia estas indicaciones!!!

Si no sabes cómo hacer algunos de los procedimientos mira esto:
http://www.trucoswindows.net/foro/showtopic-25181.html

Esto es muy importante :

Antes que nada guarda el Hijack en su propia carpeta por ej: C>Limpiar>Hijack

Baja este programa:
disk cleaner

http://www.trucoswindows.net/downloadview-details-110-Disk_Cleaner_1.5.5.html

Y el AdAware Se 1.06 :

http://www.trucoswindows.net/detalles-59-a...rsonal_106.html
Desconéctate físicamente de Internet (cables,ADSL, o Dial Up modem a tu PC )

Desactiva Restaurar Sistema (si tienes ME o XP )
Reinicia en Modo seguro o A prueba de Fallos
Haz que se vean todos los archivos.
Cierra todas las aplicaciones
Lanza el Hijack
Busca “Open the Misc Tools Section"
Selecciona "Open process manager"
Busca los siguientes procesos:
Norton Update.exe
fizod.exe
vgqujmo.exe
mviv.exe
??rss.exe
Y uno a uno termina estos procesos clickeando "Kill process" y “Yes”
Cuando terminas con todos clickea "Back"
Scan y luego Fix a estas:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.top20results.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: AzEntretien Class - {0d2def3a-f4f1-42ec-ac4f-132e7ba6e292} - %SystemRoot%\azentretien.dll (file missing)
O2 - BHO: (no name) - {35AD640C-E612-0B96-8377-615505F47347} - C:\WINDOWS\System32\itdy.dll (file missing)
O2 - BHO: (no name) - {B9398BC5-C256-453B-A5F1-8D60272DA3C1} - C:\WINDOWS\System32\pcbhn.dll (file missing)
O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINDOWS\azesearch4.dll (file missing)
O3 - Toolbar: AZE Search - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\azesearch4.dll (file missing)
O4 - HKLM\..\Run: [Wxp4] C:\WINDOWS\system32\Norton Update.exe
O4 - HKLM\..\Run: [fizod] C:\WINDOWS\fizod.exe
O4 - HKLM\..\Run: [GnYCl1] C:\WINDOWS\vgqujmo.exe
O4 - HKLM\..\Run: [mviv] C:\WINDOWS\mviv.exe
O4 - HKCU\..\Run: [Emwz] C:\WINDOWS\System32\??rss.exe
O8 - Extra context menu item: &Search - http://kz.bar.need2find.com/KZ/menusearch.html?p=KZ
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab

Cierra el Hijack.

Busca estos archivos y los eliminas:

C:\WINDOWS\system32\Norton Update.exe
C:\WINDOWS\fizod.exe
C:\WINDOWS\vgqujmo.exe
C:\WINDOWS\mviv.exe
C:\WINDOWS\System32\??rss.exe
Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.
Vacía la Papelera
Lanza el AdAware Se 1.06 actualizado al 18/08/05
Reinicia normal, conecta Internet y pega un nuevo log
Salu2
Caito

Logfile of HijackThis v1.99.1
Scan saved at 18:50:57, on 22-08-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\ARCHIV~1\Iomega\System32\AppServices.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\NMSSvc.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\system32\PROMon.exe
C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC1.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Archivos de programa\Sony Handheld\HOTSYNC.EXE
C:\Archivos de programa\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\Personal Fco\Programas de la red\HijackThis.exe
C:\WINDOWS\system32\HPBPRO.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.top20results.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC1.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [mouseElf] C:\ARCHIV~1\GENIUS~1\mouseElf.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Archivos de programa\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Archivos de programa\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [KAZAA] C:\Archivos de programa\Kazaa\kazaa.exe /SYSTRAY
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Emwz] C:\WINDOWS\System32\??rss.exe
O4 - Startup: HotSync Manager.lnk = C:\Archivos de programa\Sony Handheld\HOTSYNC.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Search - http://kz.bar.need2find.com/KZ/menusearch.html?p=KZ
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - https://www-3.ibm.com/pc/support/access/asl...nt/IbmEgath.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = espac.cl
O17 - HKLM\Software\..\Telephony: DomainName = espac.cl
O17 - HKLM\System\CCS\Services\Tcpip\..\{186FC7E9-10BE-4302-AD13-B2A7BEBDC69F}: NameServer = 200.54.144.227
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = espac.cl
O17 - HKLM\System\CS1\Services\Tcpip\..\{186FC7E9-10BE-4302-AD13-B2A7BEBDC69F}: NameServer = 200.54.144.227
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = espac.cl
O17 - HKLM\System\CS2\Services\Tcpip\..\{186FC7E9-10BE-4302-AD13-B2A7BEBDC69F}: NameServer = 200.54.144.227
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = espac.cl
O17 - HKLM\System\CS3\Services\Tcpip\..\{186FC7E9-10BE-4302-AD13-B2A7BEBDC69F}: NameServer = 200.54.144.227
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\ARCHIV~1\Iomega\System32\AppServices.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Intel® NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

Baja este programa:
http://ralphcaddell.com/Uploads/deldomains.zip
Descomprímelo, te quedará este archivo:

DelDomains.inf
Click derecho sobre este y selecciona Install
Ya está.
Desconéctate físicamente de Internet (cables,ADSL, o Dial Up modem a tu PC )

Desactiva Restaurar Sistema (si tienes ME o XP )
Reinicia en Modo seguro o A prueba de Fallos
Haz que se vean todos los archivos.
Cierra todas las aplicaciones
Lanza el Hijack
Busca “Open the Misc Tools Section"
Selecciona "Open process manager"
Busca los siguientes procesos:
??rss.exe
Y uno a uno termina estos procesos clickeando "Kill process" y “Yes”
Cuando terminas con todos clickea "Back"
Scan y luego Fix a estas:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.top20results.com
R3 - Default URLSearchHook is missing
O4 - HKCU\..\Run: [Emwz] C:\WINDOWS\System32\??rss.exe
O8 - Extra context menu item: &Search - http://kz.bar.need2find.com/KZ/menusearch.html?p=KZ
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com

Cierra el Hijack.
Busca estos archivos y los eliminas:
C:\WINDOWS\System32\??rss.exe
Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.
Vacía la Papelera
Lanza el AdAware Se 1.06 actualizado al 18/08/05
Reinicia normal, conecta Internet y pega un nuevo log
Salu2
Caito