Ayuda con spyware y secuestrador de navegador

Estado
Cerrado para nuevas respuestas

Josinho

Nuevo Miembro
Miembro
#1
Hola os escribo a ver si por favor podríais ayudarme. Tengo un portatil Centrino 1.5 con el Windows XP profesional. Hace una semana me empezaron a aparecer unos molestos Pop ups de un falso anti-spyware (eblocs) y mi página de inicio ha sido cambiada (si bien sólo ocurre cuando abro el navegador sin estar conectado a internet ¿?). He pasado el Ad-aware y el spybot tanto en modo normal como a prueba de fallos y no detectan el problema. Pego aquí mi log del hijackthis:

Logfile of HijackThis v1.97.7

Scan saved at 14:20:01, on 08/09/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe

C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\Java\j2re1.4.2_01\bin\jusched.exe

C:\ARCHIV~1\LAUNCH~1\CPLFL32.EXE

C:\Program Files\Aspire Arcade\PCMService.exe

C:\Archivos de programa\CRW\shwicon.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\mscnsz.exe

C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\mscnsz.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Documents and Settings\Josiño\Mis documentos\Utilidades\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.explorequick.com/cgi-bin/smarts...ch.cgi?query=%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://global.acer.com/

R3 - URLSearchHook: SkyTxtObj Class - {F767AC20-EB7C-4E9A-A38B-606D41366889} - C:\WINDOWS\skytxt.dll

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: (no name) - {F767AC20-EB7C-4E9A-A38B-606D41366889} - C:\WINDOWS\skytxt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_01\bin\jusched.exe

O4 - HKLM\..\Run: [LManager] C:\ARCHIV~1\LAUNCH~1\CPLFL32.EXE

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Aspire Arcade\PCMService.exe"

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ShowIcon_Chander_CRW Series Driver v1.17r019] "C:\Archivos de programa\CRW\shwicon.exe" -t"Chander\CRW Series Driver v1.17r019"

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Microszoft Update Machinezs] mscnsz.exe

O4 - HKLM\..\Run: [Supervisor de OfficeScanNT] "C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [iTunesHelper] C:\Archivos de programa\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Services] C:\crank.exe

O4 - HKLM\..\RunServices: [Microszoft Update Machinezs] mscnsz.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Microszoft Update Machinezs] mscnsz.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Messenger (HKLM)

O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://bichos.usal.es/officescan/ClientInstall/WinNTChk.cab

O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupIniCtrl Class) - http://bichos.usal.es/officescan/clientinstall/setupini.cab

O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://bichos.usal.es/officescan/clientinstall/setup.cab

O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://bichos.usal.es/officescan/clientins.../RemoveCtrl.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = cicancer.org

O17 - HKLM\Software\..\Telephony: DomainName = cicancer.org

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = cicancer.org

Muchas gracias
 

alnitak

Ex-Admin
Miembro
#2
Tienes un gusano que Trend Micro detecta y tienes Trend Micro instalado:

http://es.trendmicro-europe.com/enterprise...DBOT.KJ&VSect=T

Por favor, actualizalo, después desactiva la funcion de restaurar el sistema:

Como activar/desactivar restaurar el sistema

Reinicia el sistema en modo seguro:

Como reiniciar a prueba de fallos

Escanea tu sistema con Trend Micro y deja que remueva el gusano.

Restaura los demas cambios realizados en el registro por el gusano segun se explica en la pagina de Trend Micro

Bajate la ultima versión del HijackThis que es la 1.98.2

Salvalo en su propia carpeta que debes crear manualmente para el.

Actualiza tu sistema operativo mediante el Windows Update

Coloca un nuevo log tomado con la ultima versión del hijackThis para explicarte como resolver el problema de la pagina de inicio y demas cosas.
 

Josinho

Nuevo Miembro
Miembro
#3
Hola otra vez:

Tengo un problema con el Offiscan de trend Micro: no me deja correrlo en modo seguro, me salta un aviso que me dice que el cliente de Offiscan no se está ejecutando. De todas formas, la semana pasada me encontró dos troyanos (uno era meteor y el otro no lo recuerdo). Me decía que no podía eliminarlos, pero al seguir el enlace a la página web para que me dijesen como eliminarlos manualmente me encontraba que en ella no tenían información sobre esos troyanos ¿?. Al final cerré el anti-virus. Todas las veces que lo he vuelto a pasar no ha detectado nada.

Por lo demás he hecho todo lo que me has dicho: actualizar Windows y hijackthis y pasar el TrendMicro con restaurar el sistema desactivado (eso sí, en modo normal = no ha detectado nada). Te pego el log de hijackthis:

Logfile of HijackThis v1.98.2

Scan saved at 11:33:04, on 09/09/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe

C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\Java\j2re1.4.2_01\bin\jusched.exe

C:\ARCHIV~1\LAUNCH~1\CPLFL32.EXE

C:\Program Files\Aspire Arcade\PCMService.exe

C:\Archivos de programa\CRW\shwicon.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\mscnsz.exe

C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntupd.exe

C:\WINDOWS\System32\mscnsz.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Documents and Settings\Josiño\Mis documentos\Utilidades\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.explorequick.com/cgi-bin/smarts...ch.cgi?query=%s

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: SkyTxtObj Class - {F767AC20-EB7C-4E9A-A38B-606D41366889} - C:\WINDOWS\skytxt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: SkyTxtObj Class - {F767AC20-EB7C-4E9A-A38B-606D41366889} - C:\WINDOWS\skytxt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_01\bin\jusched.exe

O4 - HKLM\..\Run: [LManager] C:\ARCHIV~1\LAUNCH~1\CPLFL32.EXE

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Aspire Arcade\PCMService.exe"

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ShowIcon_Chander_CRW Series Driver v1.17r019] "C:\Archivos de programa\CRW\shwicon.exe" -t"Chander\CRW Series Driver v1.17r019"

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Microszoft Update Machinezs] mscnsz.exe

O4 - HKLM\..\Run: [Supervisor de OfficeScanNT] "C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [iTunesHelper] C:\Archivos de programa\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Services] C:\crank.exe

O4 - HKLM\..\RunServices: [Microszoft Update Machinezs] mscnsz.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Microszoft Update Machinezs] mscnsz.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://bichos.usal.es/officescan/ClientInstall/WinNTChk.cab

O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupIniCtrl Class) - http://bichos.usal.es/officescan/clientinstall/setupini.cab

O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://bichos.usal.es/officescan/clientinstall/setup.cab

O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://bichos.usal.es/officescan/clientins.../RemoveCtrl.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = cicancer.org

O17 - HKLM\Software\..\Telephony: DomainName = cicancer.org

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = cicancer.org

Muchas gracias. Perdonad si soy un pesado al explicarme.
 

alnitak

Ex-Admin
Miembro
#4
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

Mostrar archivos ocultos

Desactiva la opción de restaurar el sistema:

Como activar/desactivar restaurar el sistema

Reinicia el sistema en modo seguro:

Como reiniciar a prueba de fallos

Abre el Administrador de tareas: <Ctrl>+<Alt>+<Supr>

De existir termina este proceso:

C:\WINDOWS\System32\mscnsz.exe

Inicia el HijackThis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorer de Windows (es indispensable que los cierres o no resultará)

Corre el HijackThis, dale a Scan , revisa las casillas de las siguientes entradas(las que todavía estén presentes) y dale a fix:

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.explorequick.com/cgi-bin/smarts...ch.cgi?query=%s

R3 - URLSearchHook: SkyTxtObj Class - {F767AC20-EB7C-4E9A-A38B-606D41366889} - C:\WINDOWS\skytxt.dll

O2 - BHO: SkyTxtObj Class - {F767AC20-EB7C-4E9A-A38B-606D41366889} - C:\WINDOWS\skytxt.dll

O4 - HKLM\..\Run: [Microszoft Update Machinezs] mscnsz.exe

O4 - HKLM\..\Run: [Services] C:\crank.exe <<-- solo si no lo reconoces

O4 - HKLM\..\RunServices: [Microszoft Update Machinezs] mscnsz.exe

O4 - HKCU\..\Run: [Microszoft Update Machinezs] mscnsz.exe



Cierra el HijackThis, elimina los archivos temporales y cookies(ojo, no solamente los archivos temporales de Internet sino también los de sistema, hay herramientas que permiten hacerlo con facilidad, por ejemplo desde esta misma Web te puedes descargar el Disk Cleaner:

Disk Cleaner

O si prefieres te lo bajas desde la pagina del autor para asegurarte que sea la ultima versión (es freeware)

http://www.xs4all.nl/~mp2004

Lo instalas, lo corres, marcas las casillas System Tempory Files,Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean).

Elimina estos archivos

C:\WINDOWS\System32\mscnsz.exe

C:\WINDOWS\skytxt.dll

Renombra este archivo:

C:\crank.exe

a

C:\crank.bak (es que no tengo ni idea de lo que es pero no pinta bien, su tu sabes que es no marques su casilla en el HijackThis y no lo renombres)

Abre el editor de registro:

Inicio>>ejecutar>>escribes regedit y aceptas

Respaldalo salvandolo como archivo:

Selecciona Mi Pc>pica el menú archivo>exportar>asegutare que esté marcada la casilla todos y salvalo.

Ubica:

HKEY_LOCAL_MACHINE\Software\Microsoft\Ole

EnableDCOM = "N"

Cambialo a

HKEY_LOCAL_MACHINE\Software\Microsoft\Ole

EnableDCOM = "S"

Ubica:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\

Control\Lsa

restrictanonymous = "dword:00000001"

cambialo a

HKEY_LOCAL_MACHINE\System\CurrentControlSet\

Control\Lsa

restrictanonymous = "dword:00000000"

Reinicia normalmente, reactiva la opción de restaurar el sistema, comentame los resultados y postea otro log.

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 

Josinho

Nuevo Miembro
Miembro
#5
¡Bingo!

Se ha ido todo. Ya no se me secuestra el navegador, no hay pop ups y tampoco (de esto me di cuenta después de poner el primer mensaje) las palabras internet y computer se convierten ya en enlaces a una página web.

Te comento: no estaban los archivos mscnsz.exe, skytxt.dll ni crank. exe. Este último ya lo había borrado yo porque tenía pinta sospechosa y su fecha de creación coincidía con el día en que empecé a tener problemas. Todo lo demás según lo esperado.

El HiJackThis:

Logfile of HijackThis v1.98.2

Scan saved at 20:20:46, on 09/09/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe

C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\Java\j2re1.4.2_01\bin\jusched.exe

C:\ARCHIV~1\LAUNCH~1\CPLFL32.EXE

C:\Program Files\Aspire Arcade\PCMService.exe

C:\Archivos de programa\CRW\shwicon.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Documents and Settings\Josiño\Mis documentos\Utilidades\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_01\bin\jusched.exe

O4 - HKLM\..\Run: [LManager] C:\ARCHIV~1\LAUNCH~1\CPLFL32.EXE

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Aspire Arcade\PCMService.exe"

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ShowIcon_Chander_CRW Series Driver v1.17r019] "C:\Archivos de programa\CRW\shwicon.exe" -t"Chander\CRW Series Driver v1.17r019"

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Supervisor de OfficeScanNT] "C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [iTunesHelper] C:\Archivos de programa\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://bichos.usal.es/officescan/ClientInstall/WinNTChk.cab

O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupIniCtrl Class) - http://bichos.usal.es/officescan/clientinstall/setupini.cab

O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://bichos.usal.es/officescan/clientinstall/setup.cab

O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://bichos.usal.es/officescan/clientins.../RemoveCtrl.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = cicancer.org

O17 - HKLM\Software\..\Telephony: DomainName = cicancer.org

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = cicancer.org

Muchas gracias por todo, sois unos genios. Me alegro que utilicéis todo ese talento y trabajo para el bien de todos.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie