Aqui va my HJT log









Logfile of HijackThis v1.99.1
Scan saved at 11:38:31, on 26-11-2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\shnlog.exe
C:\WINDOWS\System32\msole32.exe
C:\WINDOWS\System32\popuper.exe
C:\WINDOWS\System32\intmonp.exe
C:\WINDOWS\System32\intmon.exe
E:\QuickTime\qttask.exe
C:\WINDOWS\System32\system.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\windows\mspaint.exe
E:\Winamp\winampa.exe
E:\Java2\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\System32\srwhost.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\srshost.exe
C:\Program Files\SpyTrooper\SpyTrooper.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
E:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.losdeabajo.cl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hpA286.tmp
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\FLASHGET\fgiebar.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-la\msntb.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PowerStrip] c:\archivos de programa\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load
O4 - HKLM\..\Run: [vcdgjwx] C:\WINDOWS\vcdgjwx.exe
O4 - HKLM\..\Run: [afwfmzgl] C:\WINDOWS\afwfmzgl.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Windows] system.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R] C:\windows\mspaint.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Java2\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft Windows System] srwhost.exe
O4 - HKLM\..\Run: [P.S.Guard] C:\Archivos de programa\P.S.Guard\PSGuard.exe
O4 - HKLM\..\RunServices: [Windows] system.exe
O4 - HKLM\..\RunServices: [Microsoft Windows System] srwhost.exe
O4 - HKLM\..\RunOnce: [Microsoft Windows Update] sccvhost.exe
O4 - HKCU\..\Run: [Forbes] C:\Program Files\Forbes\ForbesAlerts.exe
O4 - HKCU\..\Run: [svphost.exe] C:\WINDOWS\system32\svphost.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Microsoft Windows Update] sccvhost.exe
O4 - HKCU\..\Run: [srshost.exe] C:\WINDOWS\system32\srshost.exe
O4 - HKCU\..\Run: [SpyTrooper] C:\Program Files\SpyTrooper\SpyTrooper.exe
O4 - HKCU\..\RunOnce: [Microsoft Windows Update] sccvhost.exe
O8 - Extra context menu item: Download All by FlashGet - E:\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - E:\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Java2\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Java2\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FLASHGET\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD72790E-6BA7-4DFD-B92C-134DD3C2C3BE}: NameServer = 200.74.160.103,200.74.160.104
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: gs - C:\WINDOWS\adsldpbd.dll
O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
















me infecte de este spy ayer y no se como sacarlo de mi PC. Ojala puedan ayudarme, de antemano muchisimas gracias

Baja la version trial del Spy Sweeper :
http://www.webroot.com/consumer/products/spysweeper
Instálalo usando “Standard Install “opción.
Te pedirá una dirección de email .
Se actualizará.
Luego andá a “Options”>Sweep options” y marca “Sweep all folders on selected drives”
Marca “Local disc C “ ( o pon el que quieres analizar )
Y en “What to Sweep “ selecciona todas las casillas
Haz clic en “Sweep” y comenzará el scaneo
Al finalizar haz clic en “Remove”, clic en “Selected All “ y luego pulsa “Next”
En “Results” selecciona “Session Log “, marca “Save to File “
Guarda el reporte (Log) en un lugar conveniente.
Copia y pega ese log en tu próximo pos junto a un nuevo reporte del Hijack.
Salu2
Caito

Esxcelentee!

creo que con el scan realizado con SpySweeper he eliminado a los espias. No pude guardar el log del SpySweeper porque reinicie cuando el programa me lo pidio. Sin embargo voy a poner en el post el resultado del nuevo log de HJT:


Logfile of HijackThis v1.99.1
Scan saved at 19:24:08, on 26-11-2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
E:\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\windows\mspaint.exe
E:\Winamp\winampa.exe
E:\Java2\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\System32\srwhost.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\srshost.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\Explorer.EXE
E:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.losdeabajo.cl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - (no file)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\FLASHGET\fgiebar.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-la\msntb.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PowerStrip] c:\archivos de programa\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [vcdgjwx] C:\WINDOWS\vcdgjwx.exe
O4 - HKLM\..\Run: [afwfmzgl] C:\WINDOWS\afwfmzgl.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R] C:\windows\mspaint.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Java2\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft Windows System] srwhost.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\RunServices: [Microsoft Windows System] srwhost.exe
O4 - HKCU\..\Run: [Forbes] C:\Program Files\Forbes\ForbesAlerts.exe
O4 - HKCU\..\Run: [svphost.exe] C:\WINDOWS\system32\svphost.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [srshost.exe] C:\WINDOWS\system32\srshost.exe
O8 - Extra context menu item: Download All by FlashGet - E:\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - E:\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Java2\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Java2\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FLASHGET\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.coolwebsearch.com
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD72790E-6BA7-4DFD-B92C-134DD3C2C3BE}: NameServer = 200.74.160.103,200.74.160.104
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe




de nuevo, muchas gracias, el trabajo que han hecho ayudando a la gente es notable. (si vuelvo a tener problemas ya se donde venir )

Un abrazo desde Chile

No tan rápido
Sigues infectado, haz esto :

Bajar ewido security suite:

http://www.ewido.net/en/download/

Actualizarlo acá:

http://www.ewido.net/en/download/updates/

Configurarlo así:

• Durante la instalacion Abajo donde dice "Additional Options" Desmarca las casillas de "Install background guard" y "Install scan via context menu".
• Lanza o abre Ewido, Dandole doble click a una gran E que aparecera en tu escritorio
• El programa te preguntara algo sobre las actualizaciones. Click en OK
• El programa te mandara a la pantalla principal.
Tu vas a tener que actualizar las definiciones a la ultima version
• En el lado derecho de la pantalla principal da click en update
• Da click en Start
El proceso se va iniciar y seas informado mediante una barra de progreso.

Una vez las actualizaciones hayan sido instaladas haz lo siguiente:
• Reinicia en el modo seguro. Puedes hacer esto reiniciando tu PC, Y pulsando muchas veces la tela F8 hasta que un menu aparezca. Dirijete con la flecha hacia arriba para seleccionar el modo seguro. Dale enter. Cuando ya se inicie abre el ewido.
• Clickea en el scaner
• Antes de escanear verifica que las siguientes casillas de verificacion esten marcadas:
o Binder
o Crypter
o Archives
• Clickea en start scan
• Deja que el programa analize tu PC
Durante el progreso se te preguntara sobre desinfectar archivos clickea en OK

Una vez que el escaneo haya terminado, hay un boton localizado en la parte baja de la pantallla que dice save report
• Clickea en save report
• Guarda tu reporte en el escritorio

Limpias y pones el log de ese programa y uno nuevo del hijack
Tendrías que actualizar tu Sist. Opert. !!!
Salu2
Caito

Owned :(

jajaja



Bueno, hice lo que me pediste, con la unica salvedad que nunca pude pillar las casillas que debia verificar que estuviesen marcadas (Binder, Crypter, Archives)

El log del ewido:

---------------------------------------------------------
ewido security suite - Report de exploración
---------------------------------------------------------

+ Creado en: 22:14:57, 26-11-2005
+ Report-Checksum: 21361B52

+ Scan result:

HKLM\SOFTWARE\Classes\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3} -> Trojan.Agent.eo : Limpio con backup
HKLM\SOFTWARE\PSGuard.com -> Spyware.PSGuard : Error durante limpieza
HKLM\SOFTWARE\PSGuard.com\PSGuard -> Spyware.PSGuard : Error durante limpieza
HKLM\SOFTWARE\PSGuard.com\PSGuard\P.S.Guard -> Spyware.PSGuard : Error durante limpieza
HKLM\SOFTWARE\PSGuard.com\PSGuard\P.S.Guard\License -> Spyware.PSGuard : Limpio con backup
C:\WINDOWS\system32\system.exe -> Backdoor.Rbot : Limpio con backup
C:\WINDOWS\system32\srwhost.exe -> Backdoor.Rbot : Limpio con backup
C:\WINDOWS\system32\wirl0g0n.exe -> TrojanDropper.Small.na : Limpio con backup
C:\WINDOWS\system32\sccvhost.exe -> Backdoor.Wootbot : Limpio con backup
C:\WINDOWS\system32\scrhost.exe -> Backdoor.Rbot.adf : Limpio con backup
C:\WINDOWS\system32\in10b6s.dll -> TrojanDropper.Mudrop.m : Limpio con backup
C:\WINDOWS\system32\syshost.exe -> Backdoor.Rbot : Limpio con backup
C:\WINDOWS\system32\smwhost.exe -> Backdoor.Rbot : Limpio con backup
C:\WINDOWS\system32\srshostu.exe -> TrojanProxy.Agent.bz : Limpio con backup
C:\WINDOWS\system32\wipl0g0n.exe -> Backdoor.Rbot : Limpio con backup
C:\WINDOWS\system32\hpE5F1.tmp -> Trojan.Puper.be : Limpio con backup
C:\WINDOWS\system32\hhk.dll -> Trojan.Puper.bh : Limpio con backup
C:\WINDOWS\Temp\sbqfwvhhpln.exe -> Backdoor.Rbot : Limpio con backup
C:\WINDOWS\Temp\tnxvzffasio.exe -> Backdoor.Rbot : Limpio con backup
C:\WINDOWS\Temp\adyckfevyv.exe -> Backdoor.Rbot : Limpio con backup
C:\WINDOWS\Temp\cybqdpxevd.exe -> Backdoor.Rbot : Limpio con backup
C:\WINDOWS\Temp\zfyklygklu.exe -> Backdoor.Rbot : Limpio con backup
C:\WINDOWS\mspaint.exe -> TrojanProxy.Fireby.d : Limpio con backup
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\MH0HE5SH\x1[1].exe -> Backdoor.Rbot : Limpio con backup
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\MH0HE5SH\y1[1].exe -> Backdoor.Rbot : Limpio con backup
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\MH0HE5SH\11500[1].exe -> TrojanDropper.Small.na : Limpio con backup
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\MH0HE5SH\13500[1].exe -> TrojanDropper.Small.na : Limpio con backup
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\EX8Z278B\y6[1].exe -> Backdoor.Rbot : Limpio con backup
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\EX8Z278B\y1[1].exe -> Backdoor.Rbot : Limpio con backup
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\NP7AMIDP\y1[1].exe -> Backdoor.Rbot : Limpio con backup
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\NP7AMIDP\13500[1].exe -> TrojanDropper.Small.na : Limpio con backup
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\NP7AMIDP\11500[1].exe -> TrojanDropper.Small.na : Limpio con backup
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\HZRPR22A\11500[1].exe -> TrojanDropper.Small.na : Limpio con backup
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\HZRPR22A\y1[1].exe -> Backdoor.Rbot : Limpio con backup
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\HZRPR22A\13500[1].exe -> TrojanDropper.Small.na : Limpio con backup
C:\Documents and Settings\Administrador\Configuración local\Temp\Cookies\administrador@ad.yieldmanager[1].txt -> Spyware.Cookie.Yieldmanager : Limpio con backup
C:\Documents and Settings\Administrador\Configuración local\Temp\Cookies\administrador@ad.yieldmanager[2].txt -> Spyware.Cookie.Yieldmanager : Limpio con backup
C:\Documents and Settings\Administrador\Configuración local\Temp\Cookies\administrador@burstnet[2].txt -> Spyware.Cookie.Burstnet : Limpio con backup
C:\Documents and Settings\Administrador\Configuración local\Temp\Cookies\administrador@ads50.bpath[1].txt -> Spyware.Cookie.Bpath : Limpio con backup
C:\Documents and Settings\Administrador\Cookies\administrador@tribalfusion[1].txt -> Spyware.Cookie.Tribalfusion : Limpio con backup
C:\Documents and Settings\Administrador\Cookies\administrador@atdmt[2].txt -> Spyware.Cookie.Atdmt : Limpio con backup
C:\Documents and Settings\Administrador\Cookies\administrador@com[1].txt -> Spyware.Cookie.Com : Limpio con backup
C:\Documents and Settings\Administrador\Cookies\administrador@fastclick[2].txt -> Spyware.Cookie.Fastclick : Limpio con backup
C:\Documents and Settings\Administrador\Cookies\administrador@trafficmp[1].txt -> Spyware.Cookie.Trafficmp : Limpio con backup
C:\Documents and Settings\Administrador\Cookies\administrador@com[2].txt -> Spyware.Cookie.Com : Limpio con backup
C:\Documents and Settings\Administrador\Cookies\administrador@com[4].txt -> Spyware.Cookie.Com : Limpio con backup
C:\Documents and Settings\Administrador\Cookies\administrador@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Limpio con backup
C:\Documents and Settings\Administrador\Cookies\administrador@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Limpio con backup
C:\Documents and Settings\Administrador\Cookies\administrador@ad.adition[2].txt -> Spyware.Cookie.Adition : Limpio con backup
C:\Documents and Settings\Administrador\Cookies\administrador@image.masterstats[1].txt -> Spyware.Cookie.Masterstats : Limpio con backup
C:\win.exe -> Worm.Prex.d : Limpio con backup
C:\MSN.exe -> Worm.Prex.d : Limpio con backup


::Fin Report



















nuevo log de HJT:


Logfile of HijackThis v1.99.1
Scan saved at 22:23:54, on 26-11-2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
E:\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
E:\Winamp\winampa.exe
E:\Java2\jre1.5.0_05\bin\jusched.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\srshost.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\Explorer.EXE
E:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.losdeabajo.cl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - (no file)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\FLASHGET\fgiebar.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-la\msntb.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PowerStrip] c:\archivos de programa\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [vcdgjwx] C:\WINDOWS\vcdgjwx.exe
O4 - HKLM\..\Run: [afwfmzgl] C:\WINDOWS\afwfmzgl.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Java2\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [Forbes] C:\Program Files\Forbes\ForbesAlerts.exe
O4 - HKCU\..\Run: [svphost.exe] C:\WINDOWS\system32\svphost.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [srshost.exe] C:\WINDOWS\system32\srshost.exe
O8 - Extra context menu item: Download All by FlashGet - E:\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - E:\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Java2\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Java2\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FLASHGET\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.coolwebsearch.com
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD72790E-6BA7-4DFD-B92C-134DD3C2C3BE}: NameServer = 200.74.160.103,200.74.160.104
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe






Espero que esta vez esté todo en orden

Falta menos que antes!!!!
Baja este programa:
disk cleaner

http://www.trucoswindows.net/downloadview-details-110-Disk_Cleaner_1.5.5.html

Y el AdAware Se 1.06 :

http://www.trucoswindows.net/detalles-59-a...rsonal_106.html
Actualízalo al 23/11/05

Desconéctate físicamente de Internet (cables,ADSL, o Dial Up modem a tu PC )

Desactiva Restaurar Sistema (si tienes ME o XP )
Reinicia en Modo seguro o A prueba de Fallos
Haz que se vean todos los archivos.
Cierra todas las aplicaciones
Lanza el Hijack
Busca “Open the Misc Tools Section"
Selecciona "Open process manager"
Busca los siguientes procesos:

vcdgjwx.exe
afwfmzgl.exe
svphost.exe
srshost.exe

Y uno a uno termina estos procesos clickeando "Kill process" y “Yes”
Cuando terminas con todos clickea "Back"
Scan y luego Fix a estas:

C:\WINDOWS\system32\srshost.exe
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - (no file)
O4 - HKLM\..\Run: [vcdgjwx] C:\WINDOWS\vcdgjwx.exe
O4 - HKLM\..\Run: [afwfmzgl] C:\WINDOWS\afwfmzgl.exe
O4 - HKCU\..\Run: [svphost.exe] C:\WINDOWS\system32\svphost.exe
O4 - HKCU\..\Run: [srshost.exe] C:\WINDOWS\system32\srshost.exe
O15 - Trusted Zone: *.coolwebsearch.com

Cierra el Hijack.
Busca estos archivos y los eliminas: (pueden no estar )

C:\WINDOWS\system32\srshost.exe
C:\WINDOWS\system32\svphost.exe
C:\WINDOWS\vcdgjwx.exe
C:\WINDOWS\afwfmzgl.exe

Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.

Vacía la Papelera
Lanza el AdAware Se 1.06 actualizado al 23/11/05
Reinicia normal, conecta Internet
y pega un nuevo log del Hijack.
Salu2
Caito

Buenos dias Caito.

1- No encontre los procesos utilizando el HJT
2- Tampoco encontre, haciendo el scan, esto: C:\WINDOWS\system32\srshost.exe

Todo lo demas funciono perfectamente

Debo volver a activar la restauracion del sistema?



Aqui va el nuevo log:

Logfile of HijackThis v1.99.1
Scan saved at 12:15:29, on 27-11-2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
C:\archivos de programa\powerstrip\pstrip.exe
E:\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
E:\Winamp\winampa.exe
E:\Java2\jre1.5.0_05\bin\jusched.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wuauclt.exe
E:\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.losdeabajo.cl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\FLASHGET\fgiebar.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-la\msntb.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PowerStrip] c:\archivos de programa\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Java2\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [Forbes] C:\Program Files\Forbes\ForbesAlerts.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Download All by FlashGet - E:\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - E:\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Java2\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Java2\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FLASHGET\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD72790E-6BA7-4DFD-B92C-134DD3C2C3BE}: NameServer = 200.74.160.103,200.74.160.104
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe



Gracias

Haz una copia de este archivo:
C:\WINDOWS\System32\msmsgs.exe
y lo mandas a analizar acá :
http://www.virustotal.com/flash/index_es.html
me pones el resultado del análisis
Fuera de eso lo veo limpio
Salu2
Caito

ese archivo no lo encontre en la carpeta System32, sino en C:\Archivos de programa\Messenger


Este es el resultado de analizar el archivo "msmsgs.exe" que VirusTotal ha procesado el dia 28/11/2005 a las 21:38:19 (CET).
Antivirus Version Actualización Resultado
AntiVir 6.32.0.6 28.11.2005 no ha encontrado virus
Avast 4.6.695.0 26.11.2005 no ha encontrado virus
AVG 718 28.11.2005 no ha encontrado virus
Avira 6.32.0.6 28.11.2005 no ha encontrado virus
BitDefender 7.2 28.11.2005 no ha encontrado virus
CAT-QuickHeal 8.00 28.11.2005 no ha encontrado virus
ClamAV devel-20051108 28.11.2005 no ha encontrado virus
DrWeb 4.33 28.11.2005 no ha encontrado virus
eTrust-Iris 7.1.194.0 27.11.2005 no ha encontrado virus
eTrust-Vet 11.9.1.0 28.11.2005 no ha encontrado virus
Fortinet 2.48.0.0 28.11.2005 no ha encontrado virus
F-Prot 3.16c 28.11.2005 no ha encontrado virus
Ikarus 0.2.59.0 28.11.2005 no ha encontrado virus
Kaspersky 4.0.2.24 28.11.2005 no ha encontrado virus
McAfee 4638 28.11.2005 no ha encontrado virus
NOD32v2 1.1306 28.11.2005 no ha encontrado virus
Norman 5.70.10 28.11.2005 no ha encontrado virus
Panda 8.02.00 28.11.2005 no ha encontrado virus
Sophos 4.00.0 28.11.2005 no ha encontrado virus
Symantec 8.0 28.11.2005 no ha encontrado virus
TheHacker 5.9.1.045 28.11.2005 no ha encontrado virus
VBA32 3.10.5 28.11.2005 no ha encontrado virus






Supongo que ahora si que estoy limpio :D

Muchas gracias por todo

Saludos totales!

Ya está limpio, podemos cerrar este tema.
Salu2
Caito