Ayer pille un virus, el nod32 lo clasificba como Trojandropper.Raven

Lo localizaba pero no quitaba, elimine algunos archivos exe que me señalaba, he utilizado Spybot - en modo de fallos, utilizo wl w2k.

y he quitado bastantes espias, pero se me ha quedado la molesta venatan que aparece y desaparece sola cada 4 o 5 segundos.

el antivirus ya no detecta virus-
tambien he limpiado el registro.

Este es el LOG que me ha creado el programa hijackthis.
--------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 9:53:22, on 24/12/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\crypserv.exe
Z:\Archivos de programa\DkService.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\SYSTEM32\GEARSEC.EXE
Z:\Temp\InCD\InCDsrv.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\TightVNC-unstable\WinVNC.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Intel\Intel® Active Monitor\imonnt.exe
C:\WINNT\Explorer.exe
C:\WINNT\system32\svhost.exe
C:\WINNT\system32\carpserv.exe
C:\ARCHIV~1\PHILIP~1\VProperty.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
Z:\Cacheman5-11Spa\Cacheman.exe
C:\Archivos de programa\Pegtop\WaterWall\WaterWall.exe
C:\Archivos de programa\TechniSat DVB\bin\Server4PC.exe
C:\Archivos de programa\Browser Mouse\Browser Mouse\1.0\LwbWheel.exe
C:\Archivos de programa\Mozilla Firebird 0.6.1\MozillaFirebird.exe
C:\WINNT\explorer.exe
C:\Documents and Settings\Apelsom\Escritorio\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchwww.com/search.cgi?s=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 80.25.150.25:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=Explorer.exe svhost.exe
O1 - Hosts: 62.81.237.170 auto.search.msn.com
O1 - Hosts: 62.81.237.170 beta.search.msn.com
O2 - BHO: BTGrabObj Class - {00000000-F09C-02B4-6EC2-AD0300000000} - C:\WINNT\BTGrab.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - Z:\roboformpruebachunga\RoboForm.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: (no name) - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: myfastaccess - {8C6685AB-43FF-4BF0-822C-03F03E0B47EA} - C:\WINNT\System32\myfastaccess.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - Z:\roboformpruebachunga\RoboForm.dll
O3 - Toolbar: (no name) - {5AA06644-BC46-4220-A460-47A6EB47C96D} - (no file)
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ToUcamVProperty] C:\ARCHIV~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Cacheman] Z:\Cacheman5-11Spa\Cacheman.exe
O4 - HKCU\..\Run: [Pegtop WaterWall] C:\Archivos de programa\Pegtop\WaterWall\WaterWall.exe /s
O4 - HKCU\..\Run: [Shell] "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - Startup: Browser Mouse 1.0.lnk = C:\Archivos de programa\Browser Mouse\Browser Mouse\1.0\LwbWheel.exe
O4 - Startup: Cacheman.exe.lnk = Z:\Cacheman5-11Spa\Cacheman.exe
O4 - Startup: Sonic CinePlayer Quick Launch.lnk = C:\Archivos de programa\Archivos comunes\Sonic Shared\cinetray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Server4PC.lnk = C:\Archivos de programa\TechniSat DVB\bin\Server4PC.exe
O8 - Extra context menu item: Descargar TODO con FlashGet. - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Descargar usando FlashGet. - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm
O8 - Extra context menu item: Guardar Formularios &^ - file://Z:\roboformpruebachunga\RoboFormComSavePass.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm
O8 - Extra context menu item: Personalizar &Menú - file://Z:\roboformpruebachunga\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Rellenar Formularios &] - file://Z:\roboformpruebachunga\RoboFormComFillForms.html
O8 - Extra context menu item: RF Barra de Herramientas &2 - file://Z:\roboformpruebachunga\RoboFormComShowToolbar.html
O9 - Extra button: Rellenar Formularios - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://Z:\roboformpruebachunga\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Rellenar Formularios &] - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://Z:\roboformpruebachunga\RoboFormComFillForms.html
O9 - Extra button: Guardar - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://Z:\roboformpruebachunga\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Guardar Formularios &^ - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://Z:\roboformpruebachunga\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://Z:\roboformpruebachunga\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF Barra de Herramientas &2 - {724d43aa-0d85-11d4-9908-00400523e39a} - file://Z:\roboformpruebachunga\RoboFormComShowToolbar.html
O9 - Extra button: Coches - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - C:\WINNT\System32\shdocvw.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\JetCar.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\JetCar.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe
O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: http://linktrader.cyberspacehq.com
O16 - DPF: {24311111-1111-1121-1111-111191113457} -
O16 - DPF: {30CE93AE-4987-483C-9ABE-F2BD5301AB70} - http://64.158.165.49/output/100039/es/dbgames/dbaccess.exe
O16 - DPF: {5F3B3060-09E0-44C6-86F7-BC7B02B57BEE} - http://downloads.shopathomeselect.com/vrme...vrmedia1001.cab
O16 - DPF: {8A0EA51F-CA7C-4D97-9F22-0C9EB939F4A7} - http://www.7adpower.com/dialer/spain_907.CAB
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B51FEBFF-E679-4C99-A8F3-CBDBB447B62C}: NameServer = 217.76.128.4 217.76.129.4
O18 - Filter: text/html - {A11CAF75-1D9A-41B2-97A9-4F8A8CF376F8} - C:\Documents and Settings\Apelsom\Configuración local\Datos de programa\microsoft\internet explorer\V0.26.dat
O23 - Service: Creative Service for CDROM Access - Conexant Systems - (no file)
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINNT\SYSTEM32\crypserv.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - Z:\Archivos de programa\DkService.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINNT\SYSTEM32\GEARSEC.EXE
O23 - Service: Intel® Active Monitor (imonNT) - Intel Corp. - C:\Program Files\Intel\Intel® Active Monitor\imonnt.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - Z:\Temp\InCD\InCDsrv.exe
O23 - Service: IzyMail Server (IzyMail) - Unknown owner - (no file)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\TightVNC-unstable\WinVNC.exe" -service (file missing)

Haz un scan on line :
http://www.kaspersky.com/virusscanner

Luego :
Baja la version trial del Spy Sweeper :
http://www.webroot.com/consumer/products/spysweeper
Instálalo usando “Standard Install “opción.
Te pedirá una dirección de email .
Se actualizará.
Luego andá a “Options”>Sweep options” y marca “Sweep all folders on selected drives”
Marca “Local disc C “ ( o pon el que quieres analizar )
Y en “What to Sweep “ selecciona todas las casillas
Haz clic en “Sweep” y comenzará el scaneo
Al finalizar haz clic en “Remove”, clic en “Selected All “ y luego pulsa “Next”
En “Results” selecciona “Session Log “, marca “Save to File “
Guarda el reporte (Log) en un lugar conveniente.
Copia y pega ese log en tu próximo pos junto a un nuevo reporte del Hijack.

Salu2
Caito

Aqui te dejo el LOG, he pasado el programa varias veces y limpiado el registro arrancando en modo de fallos y pasado programas, y nada la p..t? ventana aparece y se va, me tiene ya de lso nervios.

he utilizado ya, Spy Sweeper,Ad-Aware SE Personal,SpywareBlaster, el mejor parece que el Spy Sweeper detecto cosas, pero aunque dice qu elas borro creo que al escanear vuelven a salir.

Pase el virus online de Panda porque ya lo tenia iniciado cuando me recomensate el karpeski, cerca de 5 horas....al final el LOG me dijo esto, el lOG que sigue es el del HijackThis.... :(

--------------------------------------------

Incidencia Estado Elemento

Adware:adware/maxifiles No desinfectado C:\WINNT\system32\svhost.exe
Adware:adware/maxifiles No desinfectado C:\WINNT\SYSTEM32\svhost.exe
Spyware:spyware/betterinet No desinfectado C:\WINNT\INF\biini.inf
Adware:adware/blazefind No desinfectado Registro de Windows
Dialer:dialer.xe No desinfectado HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{30CE93AE-4987-483C-9ABE-F2BD5301AB70}
Adware:adware/searchexe No desinfectado Registro de Windows
Virus:Trj/Hsow.B Desinfectado C:\Documents and Settings\Apelsom\Configuración local\Archivos temporales de Internet\Content.IE5\QDDUFQDC\country[1].Vhtm
Dialer:Dialer.BRE No desinfectado C:\Documents and Settings\Apelsom\Configuración local\Temp\ICD2.tmp\games.inf
Spyware:Spyware/BetterInet No desinfectado C:\Documents and Settings\Apelsom\Configuración local\Temp\satmat.inf
Spyware:Spyware/BetterInet No desinfectado C:\WINNT\Downloaded Program Files\button.inf
Spyware:Spyware/BetterInet No desinfectado C:\WINNT\inf\biini.inf
Spyware:Spyware/BetterInet No desinfectado C:\WINNT\inf\satmat.inf


-----------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 21:40:02, on 24/12/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\crypserv.exe
Z:\Archivos de programa\DkService.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\SYSTEM32\GEARSEC.EXE
Z:\Temp\InCD\InCDsrv.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\system32\stisvc.exe
C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\TightVNC-unstable\WinVNC.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Intel\Intel® Active Monitor\imonnt.exe
C:\WINNT\system32\svhost.exe
C:\WINNT\system32\carpserv.exe
C:\ARCHIV~1\PHILIP~1\VProperty.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
Z:\Cacheman5-11Spa\Cacheman.exe
C:\Archivos de programa\Pegtop\WaterWall\WaterWall.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\TechniSat DVB\bin\Server4PC.exe
C:\Archivos de programa\Browser Mouse\Browser Mouse\1.0\LwbWheel.exe
C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe
C:\Archivos de programa\Mozilla Firebird 0.6.1\MozillaFirebird.exe
C:\WINNT\explorer.exe
C:\Documents and Settings\Apelsom\Escritorio\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 80.25.150.25:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=Explorer.exe svhost.exe
O1 - Hosts: 62.81.237.170 auto.search.msn.com
O1 - Hosts: 62.81.237.170 beta.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - Z:\roboformpruebachunga\RoboForm.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - Z:\roboformpruebachunga\RoboForm.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ToUcamVProperty] C:\ARCHIV~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [Cacheman] Z:\Cacheman5-11Spa\Cacheman.exe
O4 - HKCU\..\Run: [Pegtop WaterWall] C:\Archivos de programa\Pegtop\WaterWall\WaterWall.exe /s
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Shell] "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - Startup: Browser Mouse 1.0.lnk = C:\Archivos de programa\Browser Mouse\Browser Mouse\1.0\LwbWheel.exe
O4 - Startup: Cacheman.exe.lnk = Z:\Cacheman5-11Spa\Cacheman.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Server4PC.lnk = C:\Archivos de programa\TechniSat DVB\bin\Server4PC.exe
O8 - Extra context menu item: Descargar TODO con FlashGet. - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Descargar usando FlashGet. - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm
O8 - Extra context menu item: Guardar Formularios &^ - file://Z:\roboformpruebachunga\RoboFormComSavePass.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm
O8 - Extra context menu item: Personalizar &Menú - file://Z:\roboformpruebachunga\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Rellenar Formularios &] - file://Z:\roboformpruebachunga\RoboFormComFillForms.html
O8 - Extra context menu item: RF Barra de Herramientas &2 - file://Z:\roboformpruebachunga\RoboFormComShowToolbar.html
O9 - Extra button: Rellenar Formularios - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://Z:\roboformpruebachunga\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Rellenar Formularios &] - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://Z:\roboformpruebachunga\RoboFormComFillForms.html
O9 - Extra button: Guardar - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://Z:\roboformpruebachunga\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Guardar Formularios &^ - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://Z:\roboformpruebachunga\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://Z:\roboformpruebachunga\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF Barra de Herramientas &2 - {724d43aa-0d85-11d4-9908-00400523e39a} - file://Z:\roboformpruebachunga\RoboFormComShowToolbar.html
O9 - Extra button: Coches - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - C:\WINNT\System32\shdocvw.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\JetCar.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\JetCar.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe
O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: http://linktrader.cyberspacehq.com
O16 - DPF: {24311111-1111-1121-1111-111191113457} -
O16 - DPF: {30CE93AE-4987-483C-9ABE-F2BD5301AB70} -
O16 - DPF: {5F3B3060-09E0-44C6-86F7-BC7B02B57BEE} -
O16 - DPF: {8A0EA51F-CA7C-4D97-9F22-0C9EB939F4A7} - http://www.7adpower.com/dialer/spain_907.CAB
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B51FEBFF-E679-4C99-A8F3-CBDBB447B62C}: NameServer = 217.76.128.4 217.76.129.4
O20 - Winlogon Notify: WRNotifier - C:\WINNT\SYSTEM32\WRLogonNTF.dll
O23 - Service: Creative Service for CDROM Access - Conexant Systems - (no file)
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINNT\SYSTEM32\crypserv.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - Z:\Archivos de programa\DkService.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINNT\SYSTEM32\GEARSEC.EXE
O23 - Service: Intel® Active Monitor (imonNT) - Intel Corp. - C:\Program Files\Intel\Intel® Active Monitor\imonnt.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - Z:\Temp\InCD\InCDsrv.exe
O23 - Service: IzyMail Server (IzyMail) - Unknown owner - (no file)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\TightVNC-unstable\WinVNC.exe" -service (file missing)

Imprime o copia estas indicaciones!!!

Si no sabes cómo hacer algunos de los procedimientos mira esto:
http://www.trucoswindows.net/foro/showtopic-25181.html

Si dispones de un punto de restauración anterior a los problemas deberías intentar usarlo y después tomar otro log, es la única manera segura y la más rápida de solucionar el problema. Si no dispones de un punto de restauración sigue las siguientes instrucciones:

Esto es muy importante : ( SI TE SALTEAS ESTE PASO TE RECOMIENDO QUE NO HAGAS NADA )

Antes que nada guarda el Hijack en su propia carpeta por ej: C>Limpiar>Hijack

Luego :

Baja este programa:
disk cleaner

http://www.trucoswindows.net/downloadview-details-110-Disk_Cleaner_1.5.5.html

Y el AdAware Se 1.06 :

http://www.trucoswindows.net/detalles-59-a...rsonal_106.html
Actualízalo al 19/12/05

Desconéctate físicamente de Internet (cables,ADSL, o Dial Up modem a tu PC )
Reinicia en Modo seguro o A prueba de Fallos
Haz que se vean todos los archivos.
Cierra todas las aplicaciones
Desactiva el Tea Timer del SpiBot :

Tea timer
• Open Spybot.
* Click MODE, then check ADVANCED MODE, click YES
* Click TOOLS in bottom lefthand corner.
* Click on SYSTEM STARTUP.
* Uncheck Teatimer.
* Click ALLOW CHANGE.
• *Reiniciar
* We will enable Teatimer after your system is clean.

Lanza el Hijack
Scan y luego Fix a estas:

C:\WINNT\system32\svhost.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blan
F2 - REG:system.ini: Shell=Explorer.exe svhost.exe
O1 - Hosts: 62.81.237.170 auto.search.msn.com
O1 - Hosts: 62.81.237.170 beta.search.msn.com
O15 - Trusted Zone: http://linktrader.cyberspacehq.com
O16 - DPF: {24311111-1111-1121-1111-111191113457} –
O16 - DPF: {5F3B3060-09E0-44C6-86F7-BC7B02B57BEE} –
O16 - DPF: {8A0EA51F-CA7C-4D97-9F22-0C9EB939F4A7} - http://www.7adpower.com/dialer/spain_907.CAB

Cierra el Hijack.
Busca estos archivos y los eliminas: (pueden no estar )

C:\WINNT\system32\svhost.exe

Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.

Vacía la Papelera
Lanza el AdAware Se 1.06 actualizado al 19/12/05
Ejecuta el SpySwepper
Reinicia normal, conecta Internet,habilita el tea timer y pon el reporte del SpySwepper y pega un nuevo log del Hijack.
Salu2
Caito

La ventana fastidiosa a desaparecido...:-)

Pero al iniciar la maquina me aparece una ventanita que dice que falta el archivo ese que borre, el "svhost" y que hay una llama o no se que, al escanera con el Spy Sweep me a parecido un "spy" CBIT DIALER, antes aparecian 3, ese y el trojano y uno llamado SHOPATHOMESELET...

Tube un error al hacer lo que me dijiste y es que reinicie antes de ejecutar el ADDAware y ek SpySwepper.....es decir en vez aplicar estos 2 ultimos programas en el modo prueba de falllos como estaba, reinicie en modo normal y los aplique luego...lo imprimi pero me despiste..





********
23:40: | Start of Session, sábado, 24 de diciembre de 2005 |
23:40: Spy Sweeper started
23:40: Sweep initiated using definitions version 589
23:40: Starting Memory Sweep
23:42: Memory Sweep Complete, Elapsed Time: 00:02:20
23:42: Starting Registry Sweep
23:42: Found Adware: cbit dialer
23:42: HKLM\software\microsoft\code store database\distribution units\{30ce93ae-4987-483c-9abe-f2bd5301ab70}\ (3 subtraces) (ID = 105463)
23:42: Registry Sweep Complete, Elapsed Time:00:00:18
23:42: Starting Cookie Sweep
23:42: Cookie Sweep Complete, Elapsed Time: 00:00:00
23:42: Starting File Sweep
23:55: File Sweep Complete, Elapsed Time: 00:12:34
23:55: Full Sweep has completed. Elapsed time 00:15:16
23:55: Traces Found: 4
23:56: Removal process initiated
23:56: Quarantining All Traces: cbit dialer
23:56: Removal process completed. Elapsed time 00:00:11
********
21:10: | Start of Session, sábado, 24 de diciembre de 2005 |
21:10: Spy Sweeper started
21:10: Sweep initiated using definitions version 589
21:10: Starting Memory Sweep
21:12: Memory Sweep Complete, Elapsed Time: 00:01:46
21:12: Starting Registry Sweep
21:12: Found Adware: cbit dialer
21:12: HKLM\software\microsoft\code store database\distribution units\{30ce93ae-4987-483c-9abe-f2bd5301ab70}\ (3 subtraces) (ID = 105463)
21:12: Found Adware: shopathomeselect
21:12: HKLM\software\microsoft\code store database\distribution units\{5f3b3060-09e0-44c6-86f7-bc7b02b57bee}\ (4 subtraces) (ID = 629042)
21:13: Found Trojan Horse: trojan-backdoor-us15info
21:13: HKU\S-1-5-21-436374069-1303643608-725345543-1000\software\microsoft\windows\currentversion\run\ || shell (ID = 650813)
21:13: Registry Sweep Complete, Elapsed Time:00:00:17
21:13: Starting Cookie Sweep
21:13: Cookie Sweep Complete, Elapsed Time: 00:00:00
21:13: Starting File Sweep
21:25: File Sweep Complete, Elapsed Time: 00:12:55
21:25: Full Sweep has completed. Elapsed time 00:14:59
21:25: Traces Found: 10
21:26: Removal process initiated
21:26: Quarantining All Traces: cbit dialer
21:26: Quarantining All Traces: shopathomeselect
21:26: Quarantining All Traces: trojan-backdoor-us15info
21:26: Removal process completed. Elapsed time 00:00:17
21:29: Deletion from quarantine initiated
21:29: Processing: cws-aboutblank
21:29: Processing: blazefind
21:29: Processing: cbit dialer
21:29: Processing: directrevenue-abetterinternet
21:29: Processing: modemspy
21:29: Processing: shopathomeselect
21:29: Processing: fastvideoplayer
21:29: Processing: gain - common components
21:29: Processing: nvdialer
21:29: Processing: qsearch
21:29: Processing: trojan-backdoor-us15info
21:29: Processing: syswebtelecom
21:29: Deletion from quarantine completed. Elapsed time 00:00:00
21:41: Processing Startup Alerts
21:41: Removed Startup entry: Shell
21:41: Removed Startup entry: SpybotSD TeaTimer
********
20:29: | Start of Session, sábado, 24 de diciembre de 2005 |
20:29: Spy Sweeper started
20:29: Sweep initiated using definitions version 589
20:29: Starting Memory Sweep
20:32: Memory Sweep Complete, Elapsed Time: 00:02:45
20:32: Starting Registry Sweep
20:32: Found Adware: blazefind
20:32: HKLM\software\microsoft\windows\currentversion\uninstall\windows sr 2.0\ (4 subtraces) (ID = 104552)
20:32: Found Adware: cbit dialer
20:32: HKLM\software\microsoft\code store database\distribution units\{30ce93ae-4987-483c-9abe-f2bd5301ab70}\ (8 subtraces) (ID = 105463)
20:32: Found Trojan Horse: fastvideoplayer
20:32: HKCR\clsid\{b5dd9a64-5c4b-4a48-be56-97c1a8f85708}\ (21 subtraces) (ID = 126414)
20:32: HKCR\interface\{9ff86c1b-7e6f-4a7f-932a-244fe7296dae}\ (8 subtraces) (ID = 126419)
20:32: HKCR\interface\{ee7e970d-3d17-4645-8660-d7f40b917092}\ (8 subtraces) (ID = 126420)
20:32: HKLM\software\classes\clsid\{b5dd9a64-5c4b-4a48-be56-97c1a8f85708}\ (21 subtraces) (ID = 126421)
20:32: HKLM\software\classes\interface\{9ff86c1b-7e6f-4a7f-932a-244fe7296dae}\ (8 subtraces) (ID = 126426)
20:32: HKLM\software\classes\interface\{ee7e970d-3d17-4645-8660-d7f40b917092}\ (8 subtraces) (ID = 126427)
20:32: HKLM\software\classes\typelib\{022850cb-74fd-486d-8b1c-573ecfd599ad}\ (9 subtraces) (ID = 126428)
20:32: HKCR\typelib\{022850cb-74fd-486d-8b1c-573ecfd599ad}\ (9 subtraces) (ID = 126429)
20:32: Found System Monitor: modemspy
20:32: HKCR\.msplg\ (6 subtraces) (ID = 135145)
20:32: Found Adware: syswebtelecom
20:32: HKCR\clsid\{94118c19-b178-4e43-bbe8-0efdbb391bdb}\ (11 subtraces) (ID = 143553)
20:32: HKCR\interface\{15cd9136-9972-406f-9ba8-da0f542b5ea3}\ (8 subtraces) (ID = 143557)
20:32: HKCR\interface\{7327f0ff-165e-46b5-98c2-80d738a3b228}\ (8 subtraces) (ID = 143559)
20:32: HKLM\software\classes\clsid\{94118c19-b178-4e43-bbe8-0efdbb391bdb}\ (11 subtraces) (ID = 143562)
20:32: HKLM\software\classes\interface\{15cd9136-9972-406f-9ba8-da0f542b5ea3}\ (8 subtraces) (ID = 143566)
20:32: HKLM\software\classes\interface\{7327f0ff-165e-46b5-98c2-80d738a3b228}\ (8 subtraces) (ID = 143568)
20:32: HKLM\software\classes\typelib\{9a30a25e-d8e6-414b-89d0-a78d26dd85e3}\ (9 subtraces) (ID = 143572)
20:32: HKCR\typelib\{9a30a25e-d8e6-414b-89d0-a78d26dd85e3}\ (9 subtraces) (ID = 143579)
20:32: HKLM\software\microsoft\windows\currentversion\uninstall\modem spy\ (2 subtraces) (ID = 359363)
20:32: Found Adware: shopathomeselect
20:32: HKLM\software\microsoft\code store database\distribution units\{5f3b3060-09e0-44c6-86f7-bc7b02b57bee}\ (11 subtraces) (ID = 629042)
20:32: Found Adware: cws-aboutblank
20:32: HKU\S-1-5-21-436374069-1303643608-725345543-1000\software\microsoft\internet explorer\main\ || search bar_bak (ID = 115924)
20:32: HKU\S-1-5-21-436374069-1303643608-725345543-1000\software\microsoft\internet explorer\main\ || search page_bak (ID = 115925)
20:33: Found Trojan Horse: trojan-backdoor-us15info
20:33: HKU\S-1-5-21-436374069-1303643608-725345543-1000\software\microsoft\windows\currentversion\run\ || shell (ID = 650813)
20:33: HKU\S-1-5-21-436374069-1303643608-725345543-1000\software\microsoft\internet explorer\main\ || search page_bak (ID = 774883)
20:33: Found Adware: qsearch
20:33: HKU\S-1-5-21-436374069-1303643608-725345543-1000\software\program data\ (1 subtraces) (ID = 1025463)
20:33: Registry Sweep Complete, Elapsed Time:00:00:24
20:33: Starting Cookie Sweep
20:33: Cookie Sweep Complete, Elapsed Time: 00:00:00
20:33: Starting File Sweep
20:33: Found Adware: gain - common components
20:33: hdplugin1015.inf (ID = 61471)
20:33: hdplugin1015.inf (ID = 61471)
20:34: fastvideoplayer.inf (ID = 60913)
20:40: grinstall6.dll (ID = 75775)
20:47: Found Adware: directrevenue-abetterinternet
20:47: satmat.inf (ID = 83498)
20:47: biini.inf (ID = 83199)
20:47: satmat.inf (ID = 83498)
20:47: Found Adware: nvdialer
20:47: games.inf (ID = 71265)
20:47: btgrab.inf (ID = 83223)
20:47: grinstall.inf (ID = 75773)
20:47: File Sweep Complete, Elapsed Time: 00:14:46
20:47: Full Sweep has completed. Elapsed time 00:17:59
20:47: Traces Found: 232
20:48: Removal process initiated
20:48: Quarantining All Traces: cws-aboutblank
20:48: Quarantining All Traces: directrevenue-abetterinternet
20:49: Quarantining All Traces: modemspy
20:49: Quarantining All Traces: qsearch
20:49: Quarantining All Traces: trojan-backdoor-us15info
20:49: Quarantining All Traces: blazefind
20:49: Quarantining All Traces: fastvideoplayer
20:49: Quarantining All Traces: cbit dialer
20:49: Quarantining All Traces: nvdialer
20:49: Quarantining All Traces: shopathomeselect
20:49: Quarantining All Traces: syswebtelecom
20:49: Quarantining All Traces: gain - common components
20:49: Removal process completed. Elapsed time 00:00:09
21:07: Processing Hosts File Alerts
21:07: Allowed Hosts File entry: auto.search.msn.com
21:07: Allowed Hosts File entry: beta.search.msn.com
21:10: Program Version 4.5.8 (Build 683) Using Spyware Definitions 589
21:10: | End of Session, sábado, 24 de diciembre de 2005 |
********
20:29: | Start of Session, sábado, 24 de diciembre de 2005 |
20:29: Spy Sweeper started
20:29: Sweep initiated using definitions version 589
20:29: Starting Memory Sweep
20:29: Sweep Canceled
20:29: Memory Sweep Complete, Elapsed Time: 00:00:07
20:29: Traces Found: 0
20:29: | End of Session, sábado, 24 de diciembre de 2005 |
********
20:28: | Start of Session, sábado, 24 de diciembre de 2005 |
20:28: Spy Sweeper started
20:28: Sweep initiated using definitions version 589
20:28: Starting Memory Sweep
20:28: Sweep Canceled
20:28: Memory Sweep Complete, Elapsed Time: 00:00:10
20:28: Traces Found: 0
20:29: Only Sweep Folders Where Threats Are Known to Reside
20:29: | End of Session, sábado, 24 de diciembre de 2005 |
********
20:20: | Start of Session, sábado, 24 de diciembre de 2005 |
20:20: Spy Sweeper started
20:27: Your spyware definitions have been updated.
20:28: | End of Session, sábado, 24 de diciembre de 2005 |

Porfavor pega un nuevo reporte del hijackthis.
Salu2

Logfile of HijackThis v1.99.1
Scan saved at 0:18:53, on 25/12/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\crypserv.exe
Z:\Archivos de programa\DkService.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\SYSTEM32\GEARSEC.EXE
Z:\Temp\InCD\InCDsrv.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\system32\stisvc.exe
C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\TightVNC-unstable\WinVNC.exe
C:\WINNT\Explorer.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Intel\Intel® Active Monitor\imonnt.exe
C:\WINNT\system32\carpserv.exe
C:\ARCHIV~1\PHILIP~1\VProperty.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
Z:\Cacheman5-11Spa\Cacheman.exe
C:\Archivos de programa\Pegtop\WaterWall\WaterWall.exe
C:\Archivos de programa\TechniSat DVB\bin\Server4PC.exe
C:\Archivos de programa\Browser Mouse\Browser Mouse\1.0\LwbWheel.exe
C:\Archivos de programa\The Bat!\thebat.exe
C:\ProgDVB\ProgDVB.exe
C:\Archivos de programa\Mozilla Firebird 0.6.1\MozillaFirebird.exe
C:\WINNT\explorer.exe
C:\limpiar\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 80.25.150.25:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - Z:\roboformpruebachunga\RoboForm.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - Z:\roboformpruebachunga\RoboForm.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ToUcamVProperty] C:\ARCHIV~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [Cacheman] Z:\Cacheman5-11Spa\Cacheman.exe
O4 - HKCU\..\Run: [Pegtop WaterWall] C:\Archivos de programa\Pegtop\WaterWall\WaterWall.exe /s
O4 - Startup: Browser Mouse 1.0.lnk = C:\Archivos de programa\Browser Mouse\Browser Mouse\1.0\LwbWheel.exe
O4 - Startup: Cacheman.exe.lnk = Z:\Cacheman5-11Spa\Cacheman.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Server4PC.lnk = C:\Archivos de programa\TechniSat DVB\bin\Server4PC.exe
O8 - Extra context menu item: Descargar TODO con FlashGet. - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Descargar usando FlashGet. - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm
O8 - Extra context menu item: Guardar Formularios &^ - file://Z:\roboformpruebachunga\RoboFormComSavePass.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm
O8 - Extra context menu item: Personalizar &Menú - file://Z:\roboformpruebachunga\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Rellenar Formularios &] - file://Z:\roboformpruebachunga\RoboFormComFillForms.html
O8 - Extra context menu item: RF Barra de Herramientas &2 - file://Z:\roboformpruebachunga\RoboFormComShowToolbar.html
O9 - Extra button: Rellenar Formularios - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://Z:\roboformpruebachunga\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Rellenar Formularios &] - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://Z:\roboformpruebachunga\RoboFormComFillForms.html
O9 - Extra button: Guardar - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://Z:\roboformpruebachunga\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Guardar Formularios &^ - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://Z:\roboformpruebachunga\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://Z:\roboformpruebachunga\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF Barra de Herramientas &2 - {724d43aa-0d85-11d4-9908-00400523e39a} - file://Z:\roboformpruebachunga\RoboFormComShowToolbar.html
O9 - Extra button: Coches - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - C:\WINNT\System32\shdocvw.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\JetCar.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\JetCar.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe
O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kav...can_unicode.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B51FEBFF-E679-4C99-A8F3-CBDBB447B62C}: NameServer = 217.76.128.4 217.76.129.4
O20 - Winlogon Notify: WRNotifier - C:\WINNT\SYSTEM32\WRLogonNTF.dll
O23 - Service: Creative Service for CDROM Access - Conexant Systems - (no file)
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINNT\SYSTEM32\crypserv.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - Z:\Archivos de programa\DkService.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINNT\SYSTEM32\GEARSEC.EXE
O23 - Service: Intel® Active Monitor (imonNT) - Intel Corp. - C:\Program Files\Intel\Intel® Active Monitor\imonnt.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - Z:\Temp\InCD\InCDsrv.exe
O23 - Service: IzyMail Server (IzyMail) - Unknown owner - (no file)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\TightVNC-unstable\WinVNC.exe" -service (file missing)

Hola :notiz

Por favor...

○» Sitúa el HijackThis.exe en una carpeta exclusiva para él (ej. C:/UBICACIÓN/Hijackthis/Hijackthis.exe)

○» Descarga el Disk Cleaner e instálalo.

○» Desactiva la opcion de Restaurar Sistema, una vez que tu sistema quede limpio la puedes volver a activar.

○» Asegura que tu sistema Muestre los archivos y carpetas ocultos

○» Reinicia en Modo Seguro

○» Ejecuta el HijackThis y da click en el boton "Do a system scan only"

○» Selecciona las casillas de las siguientes entradas y presiona el boton "Fix Checked":

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O23 - Service: Creative Service for CDROM Access - Conexant Systems - (no file)

O23 - Service: IzyMail Server (IzyMail) - Unknown owner - (no file)

O23 - Service: VNC Server (winvnc) - Unknown owner - C:\TightVNC-unstable\WinVNC.exe" -service (file missing)

○» Limpia la papelera

○» Reinicia tu sistema operativo normalmente

○» Utiliza el Disk Cleaner para eliminar todos los archivos temporales del sistema

○» Coméntame los resultados y publica otro log aquí ok.

Saludos

QUOTE

Nota. Si requieres ayuda con el log del HijackThis crea una "Nueva Discusión" (que sera solo para ti) y plantea tu problema evitando títulos de "Ayuda", "Por favor Ayuda", "Help", "Me revisan el log", etc. y colocando en su lugar una pequeña descripción de tu problema o el proceso que "sospechas" te esta causando los inconvenientes.

HOla, tengo dudas....si elimino esta entrada:

"O23 - Service: VNC Server (winvnc) - Unknown owner - C:\TightVNC-unstable\WinVNC.exe" -service (file missing)"

NO dejara de funcionarme ese programa lo utilizo para conexion en Red con otro Pc que tengo....

gracias-
---------------------------

OK, no la borres
Haz otra vez un scan on line para ver si ya está limpio, tambien usa el este programa :
Limpiar el Registro:
http://www.hoverdesk.net/dl/en/RegSeeker.zip
Y comenta cómo funciona
Pd: actuliza el IE

CReo que ya esta, el Pc reinicia sin que aparezca ninguna ventana de advertencia que falta tal o cual archivo, y he pasado el "Spy Sweeper" y ya no me detecta nada.
Asi mismo tambien limpie el registro de nuevo.

Adjunto por si acaso un LOg del HijackThis...

Daros las gracias por todo, sin ustedes no hubiera podido quitar el problema.

-------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 15:04:44, on 25/12/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\crypserv.exe
Z:\Archivos de programa\DkService.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\SYSTEM32\GEARSEC.EXE
Z:\Temp\InCD\InCDsrv.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\system32\stisvc.exe
C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\TightVNC-unstable\WinVNC.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Intel\Intel® Active Monitor\imonnt.exe
C:\WINNT\system32\carpserv.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Archivos

comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
Z:\Cacheman5-11Spa\Cacheman.exe
C:\Archivos de programa\Pegtop\WaterWall\WaterWall.exe
C:\Archivos de programa\TechniSat DVB\bin\Server4PC.exe
C:\Archivos de programa\Browser Mouse\Browser

Mouse\1.0\LwbWheel.exe
C:\Archivos de programa\AgendaMSD\AgendaMSD.EXE
C:\Archivos de programa\Mozilla Firebird

0.6.1\MozillaFirebird.exe
C:\WINNT\explorer.exe
C:\limpiar\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start

Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start

Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet

Settings,ProxyServer = 80.25.150.25:80
R0 - HKCU\Software\Microsoft\Internet

Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de

programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F}

- C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a}

- Z:\roboformpruebachunga\RoboForm.dll
O3 - Toolbar: &Radio -

{8E718888-423F-11D2-876E-00A0C9082467} -

C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &RoboForm -

{724d43a0-0d85-11d4-9908-00400523e39a} -

Z:\roboformpruebachunga\RoboForm.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe

/logon
O4 - HKLM\..\Run: [HPDJ Taskbar Utility]

C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [nod32kui] C:\Archivos de

programa\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de

programa\Archivos comunes\Real\Update_OB\realsched.exe"

-osboot
O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de

programa\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [Cacheman] Z:\Cacheman5-11Spa\Cacheman.exe
O4 - HKCU\..\Run: [Pegtop WaterWall] C:\Archivos de

programa\Pegtop\WaterWall\WaterWall.exe /s
O4 - Startup: Browser Mouse 1.0.lnk = C:\Archivos de

programa\Browser Mouse\Browser Mouse\1.0\LwbWheel.exe
O4 - Startup: Cacheman.exe.lnk =

Z:\Cacheman5-11Spa\Cacheman.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de

programa\Archivos comunes\Adobe\Calibration\Adobe Gamma

Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de

programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Server4PC.lnk = C:\Archivos de

programa\TechniSat DVB\bin\Server4PC.exe
O8 - Extra context menu item: Descargar TODO con FlashGet. -

C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Descargar usando FlashGet. -

C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: Download with GetRight -

C:\Archivos de programa\GetRight\GRdownload.htm
O8 - Extra context menu item: Guardar Formularios &^ -

file://Z:\roboformpruebachunga\RoboFormComSavePass.html
O8 - Extra context menu item: Open with GetRight Browser -

C:\Archivos de programa\GetRight\GRbrowse.htm
O8 - Extra context menu item: Personalizar &Menú -

file://Z:\roboformpruebachunga\RoboFormComCustomizeIEMenu.ht

ml
O8 - Extra context menu item: Rellenar Formularios &] -

file://Z:\roboformpruebachunga\RoboFormComFillForms.html
O8 - Extra context menu item: RF Barra de Herramientas &2 -

file://Z:\roboformpruebachunga\RoboFormComShowToolbar.html
O9 - Extra button: Rellenar Formularios -

{320AF880-6646-11D3-ABEE-C5DBF3571F46} -

file://Z:\roboformpruebachunga\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Rellenar Formularios &] -

{320AF880-6646-11D3-ABEE-C5DBF3571F46} -

file://Z:\roboformpruebachunga\RoboFormComFillForms.html
O9 - Extra button: Guardar -

{320AF880-6646-11D3-ABEE-C5DBF3571F49} -

file://Z:\roboformpruebachunga\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Guardar Formularios &^ -

{320AF880-6646-11D3-ABEE-C5DBF3571F49} -

file://Z:\roboformpruebachunga\RoboFormComSavePass.html
O9 - Extra button: RoboForm -

{724d43aa-0d85-11d4-9908-00400523e39a} -

file://Z:\roboformpruebachunga\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF Barra de Herramientas &2 -

{724d43aa-0d85-11d4-9908-00400523e39a} -

file://Z:\roboformpruebachunga\RoboFormComShowToolbar.html
O9 - Extra button: Coches -

{AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} -

C:\WINNT\System32\shdocvw.dll
O9 - Extra button: Real.com -

{CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -

C:\WINNT\System32\Shdocvw.dll
O9 - Extra button: FlashGet -

{D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -

C:\ARCHIV~1\FlashGet\JetCar.exe
O9 - Extra 'Tools' menuitem: &FlashGet -

{D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -

C:\ARCHIV~1\FlashGet\JetCar.exe
O9 - Extra button: Yahoo! Messenger -

{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} -

C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger -

{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} -

C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe
O12 - Plugin for .pdf: C:\Archivos de programa\Internet

Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75}

(CKAVWebScan Object) -

http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.ca

b
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat

Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O17 -

HKLM\System\CCS\Services\Tcpip\..\{B51FEBFF-E679-4C99-A8F3-C

BDBB447B62C}: NameServer = 217.76.128.4 217.76.129.4
O20 - Winlogon Notify: WRNotifier -

C:\WINNT\SYSTEM32\WRLogonNTF.dll
O23 - Service: Creative Service for CDROM Access - Conexant

Systems - (no file)
O23 - Service: Crypkey License - Kenonic Controls Ltd. -

C:\WINNT\SYSTEM32\crypserv.exe
O23 - Service: Diskeeper - Executive Software International,

Inc. - Z:\Archivos de programa\DkService.exe
O23 - Service: Servicio del administrador de discos lógicos

(dmadmin) - VERITAS Software Corp. -

C:\WINNT\System32\dmadmin.exe
O23 - Service: GEARSecurity - GEAR Software -

C:\WINNT\SYSTEM32\GEARSEC.EXE
O23 - Service: Intel® Active Monitor (imonNT) - Intel

Corp. - C:\Program Files\Intel\Intel® Active

Monitor\imonnt.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software -

Z:\Temp\InCD\InCDsrv.exe
O23 - Service: IzyMail Server (IzyMail) - Unknown owner -

(no file)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown

owner - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) -

Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy

Sweeper\WRSSSDK.exe
O23 - Service: VNC Server (winvnc) - Unknown owner -

C:\TightVNC-unstable\WinVNC.exe" -service (file missing)

La 023 puse a borrar, porque parese dañada o algo asi, si miras el final (file missing) casi todas las que son asi, vienen con error y no pasa nada por borrarlas y tampoco por dejarlas, pero ya que estamos....
Igual no la borres por las dudas.
Salu2

Es sabido que el Hijack tiene algunos problemas para manejar las entradas 023, en muchos casos ( a mi me ocurre con el avast antivirus , que me lo da" File missing" y sin embargo me funciona perfectamente ) por lo que no conviene a menos que sean dañinas , el borrarlas
Nos alegra que hayas solucionado este tema
Saludos
Caito