Vamos a implementar una solución. Es la que está en
http://www.wilderssecurity.com/showthread.php?t=28658&page=2&pp=25 . No sé si podrán leer el enlace, pero por las dudas lo copié (en inglés). Traduzco a continuación:
NOTA: los archivos NO NECESARIAMENTE están en la carpeta System32. Los hemos visto en el directorio Windows también.
Eliminación:
1. Asegurate que podés ver archivos ocultos y de sistema. Abrí cualquier ventana de Explorador y hacé click en Herramientas->Opciones de carpeta->Ver y asegurate de poner la marca en Mostrar Archivos y Carpetas Ocultos.
2. Presioná Ctrl+Alt+Delete una vez => hacé click en Administrador de tareas => hacé click en Procesos => doble click en la columna Nombre de imagen para ordenar los procesos alfabéticamente y buscá en la lista "" & "". Si encontrás los archivos haceles un click y luego hacé click en Terminar proceso. Salí del Administrador de tareas.
3. Ahora andá a Inicio->Ejecutar y escribí "Services.msc" (sin las comillas) y apretá Aceptar.
4. Bajá hasta encontrar el servicio llamado "Network Security Service".
5. Cuando lo encuentres hacele doble click. En la ventana que aparece hacé click en el botón Detener, luego cambiá el Tipo de inicio a Deshabilitado. Ahora apretá Aplicar y luego Aceptar y cerrá todas las ventanas que tengas abiertas.
6. Corré el HijackThis, marcá lo siguiente y apretá Fix Checked:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wamud.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wamud.dll/sp.html#93256
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wamud.dll/sp.html#93256
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wamud.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wamud.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wamud.dll/sp.html#93256
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wamud.dll/sp.html#93256
O2 - BHO: (no name) - {9CC8F542-1A40-D18B-FB14-9CD9B4908857} - C:\WINDOWS\system32\mfcbi.dll
O4 - HKLM\..\Run: [ieqd.exe] C:\WINDOWS\ieqd.exe
Si estás en México, probablemente la siguiente línea sea correcta (parece ser de TelMex, y veo que tenés algo de TelMex por ahí):
O17 - HKLM\System\CCS\Services\Tcpip\..\{F795BADC-425C-41A2-883A-8008DBBF3CC0}: NameServer = 200.23.242.202 200.23.242.196Si no, o si no reconocés el rango de IP
200.23.242.202 200.23.242.196 como de tu proveedor de Internet (podés buscar en Google con el rango completo como cadena de búsqueda), o no estás en tu trabajo, se puede pensar en eliminar esta línea. En todo caso comentame y vemos qué hacemos.
Con respecto a las líneas:
O10 - Unknown file in Winsock LSP: c:\archivos de programa\panda software\panda titanium antivirus 2005\pavlsp.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\panda software\panda titanium antivirus 2005\pavlsp.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\panda software\panda titanium antivirus 2005\pavlsp.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\panda software\panda titanium antivirus 2005\pavlsp.dll
el HT no las corrige. Para corregir esto haría falta usar el LSPFix (
http://www.cexx.org/lspfix.htm ).
7. Reiniciá en modo seguro ( tecla F8 ) y eliminá los siguientes archivos:
C:\WINDOWS\wamud.dll
C:\WINDOWS\system32\mfcbi.dll
C:\WINDOWS\ieqd.exeYo no puedo ubicar el siguiente archivo:
C:\WINDOWS\javady32.exeSi no podés asociarlo con ningún programa conocido, por lo menos movelo a otro sitio y cambiale la extensión, por ejemplo a una carpeta
C:\BASURA nueva, y llamalo
javady32.BAK.
8. Reiniciá en modo normal, abrí un Bloc de notas y copiá y pegá lo que ves a continuación:
REGEDIT4
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY___NS_SERVICE_3]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\__NS_Service_3]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY___NS_SERVICE_3]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\__NS_Service_3]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW]
Fijate de guardarlo como cwsuninst.reg . En realidad el nombre es lo de menos, pero lo importante es la extensión, fijate que por defecto el Bloc de notas te crea un .txt. Tenés que evitar eso haciendo click en el menú Archivo -> Guardar como... y eligiendo en Guardar como tipo la opción Todos los archivos, y escribiendo el nombre.reg en Nombre del archivo, y guardalo en el Escritorio.
Cerrá el Bloc de notas, buscá el archivo recién creado y hacele doble click. Aceptá los cambios de los que te informa.
9. Volvé a correr el HT y publicá un nuevo log.
NOTAS ADICIONALES:Si se le dá acceso full a Internet esta variante va a borrar:
- tu archivo hosts (buenos reemplazos pueden obtenerse de
http://www.mvps.org/winhelp2002/hosts.htm o de
http://webpages.charter.net/hpguru/hosts/hosts.html )
- El Spybot S&D's BHO (si tenías el SpyBot S&D bajate el SDHelper.dll de
http://www.spywareinfo.com/~merijn/winfiles.html , ponelo en la carpeta Spybot (por defecto en: C:\Archivos de programa\Spybot - Search & Destroy\) y hacé click en Inicio->Ejecutar->regsvr32 "C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll" y apretá Aceptar
- control.exe: seguí las instrucciones de:
http://www.spywareinfo.com/~merijn/winfiles.html#controlOTRA NOTA ADICIONAL:En la última variante es posible que el nombre del servicio cambie.
Los nombres actualmente conocidos son:
- Workstation Netlogon Service
- Remote Procedure Call (RPC) Helper
Como podrás ver ellos están imitando servicios legítimos y MUY utilizados, así que fijate bien qué detenés.