Tema: Troyano rebelde (xxyyxusR.dll) (SOLUCIONADO)

[kike]

Saludos a todos.
Me encontré por ahí el siguiente caso:
Un ordenador (xp pro sp2) a paso lento, desplegando popups, el navegador -IE7- secuestrado; el antivirus (Nod32) desactivado. Además tres iconos en escritorio referentes a falsos antispywares que también aparecen en los links de FAVORITOS. En la bandeja del sistema al LADO DERECHO del reloj una leyenda: VIRUS ALERT!. Constantes globos y avisos de que el Pc está infectado y se debe descargar no sé qué programa para solucionarlo. Constantes intentos de conexión a internet en segundo plano.
Y para rematar ... por vía administrativa deshabilitados el msconfig, el editor del registro, el panel de control, casi todo el menu de inicio (sólo aparecen los últimos programas abiertos) y el disco duro C: ha desaparecido de la faz de la tierra...
En modo a prueba de errores el panorama es igual. 

Después de trastear con él por más de tres horas he logrado avanzar bastante. Sin embargo aún me falta recuperar el disco duro C: (sigue oculto), la entrada "Todos los programas" del menú de inicio y zafarme de un archivo que está pegado como sanguijuela del explorer y del rundll32. El archivito de marras es: xxyyxusR.dll y se encuentra dentro de la carpeta del sistema ( C:\windows\system32\xxyyxusR.dll). Por otro lado sé que debo corregir algunas entradas del registro pero ya el cerebro se me "frizó" y creo que estoy dando vueltas en círculo. No he tetectado rootkits.

Aparte de que me digais que pase shredder, spybot y antivirus actualizados que ya lo hice todo, quiero que me ayudeis mirando el log que pongo en el siguiente post:

Un saludo.

[kike]

Este es el log de hijackthis tomado en modo a prueba de errores:
Espero que podais ayudarme.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 07:51:14 p.m., on 06/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Safe mode
Windows folder: C:\WINDOWS
System folder: C:\WINDOWS\SYSTEM32
Hosts file: C:\WINDOWS\System32\drivers\etc\hosts

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\totalcmd\TOTALCMD.EXE
D:\BootCD\WinTools\AutoRun.exe
C:\WINDOWS\system32\ctfmon.exe
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\HIJACK.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll (filesize 399352 bytes, MD5 8BBB9FEEC360F11867B28059B5360843)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (filesize 63136 bytes, MD5 42729C3DE75A7A51FC6F9EF6546C9199)
O2 - BHO: (no name) - {1FE4BFC2-60DB-461C-B734-1D40F120299A} - C:\WINDOWS\system32\xxyyxusR.dll (filesize 28288 bytes, MD5 DD979E4F9367B56069AEA4D71A8B2D92)
O2 - BHO: (no name) - {249FF88C-4152-4705-8F73-15E4633F841D} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (filesize 328752 bytes, MD5 59CF5BF6684AFCF906CADAD39B4214DE)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll (filesize 2427968 bytes, MD5 55AC8D1780933CD6F36D45326D4286A6)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll (filesize 325048 bytes, MD5 1DC47CA76A0FFEAA25B45DE5706F2115)
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll (filesize 493856 bytes, MD5 A37BE35EEACA5AC359851B4E51831CE1)
O2 - BHO: (no name) - {C396242E-B6B6-4B05-A755-72938F31ACB0} - (no file)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll (filesize 493856 bytes, MD5 A37BE35EEACA5AC359851B4E51831CE1)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll (filesize 399352 bytes, MD5 8BBB9FEEC360F11867B28059B5360843)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll (filesize 2427968 bytes, MD5 55AC8D1780933CD6F36D45326D4286A6)
O3 - Toolbar: (no name) - {136717A3-DA9A-4322-997B-25D0843942F8} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup (filesize 33280 bytes, MD5 3175EB8EF1C6C38F440FCB2D1403B823)
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit (filesize 33280 bytes, MD5 3175EB8EF1C6C38F440FCB2D1403B823)
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE (filesize 949376 bytes, MD5 DD855A1E52C391F52400CA4162A3BAFF)
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeC:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [NeroHomeFirstStart] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMFirstStart.exeC:\Archivos de programa\Archivos comunes\Ahead\Lib\NMFirstStart.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL (filesize 40512 bytes, MD5 0FA0BDAA2FF4ED7E5A2FA2EC1B536712)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (filesize 1694208 bytes, MD5 74E6E96C6F0E2ECA4EDBB7F7A468F259)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (filesize 1694208 bytes, MD5 74E6E96C6F0E2ECA4EDBB7F7A468F259)
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://anny-dani.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {D6E7CFB5-C074-4D1C-B647-663D1A8D96BF} (Facebook Photo Uploader 4) - http://upload.facebook.com/controls/FacebookPhotoUploader4_5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{19DB77CC-A08B-4958-9B67-BEBC6DAC1646}: NameServer = 200.13.249.101,200.13.224.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{19DB77CC-A08B-4958-9B67-BEBC6DAC1646}: NameServer = 200.13.249.101,200.13.224.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{19DB77CC-A08B-4958-9B67-BEBC6DAC1646}: NameServer = 200.13.249.101,200.13.224.254
O20 - Winlogon Notify: xxyyxusR - C:\WINDOWS\SYSTEM32\xxyyxusR.dllC:\WINDOWS\SYSTEM32\xxyyxusR.dll
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll (filesize 1023488 bytes, MD5 522F3E0E27972D0379D49AEF4F303F61)
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll (filesize 1023488 bytes, MD5 522F3E0E27972D0379D49AEF4F303F61)
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exeC:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exeC:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exeC:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exeC:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exeC:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exeC:\WINDOWS\system32\imapi.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exeC:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Archivos de programa\Eset\nod32krn.exeC:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exeC:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exeC:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exeC:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exeC:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exeC:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exeC:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exeC:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 9008 bytes

[Mr_X]

1.-Haz copia de seguridad del registro utilizando el ERUNT (clic aquí); deshabilita el 'Restaurar el sistema' (clic aquí)
2.-Iniciando en Modo seguro, ejecuta el HijackThis, marca la casilla a la izquierda de las siguientes entradas y dale al botón [Fix checked]:

Código: [Seleccionar]

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {1FE4BFC2-60DB-461C-B734-1D40F120299A} - C:\WINDOWS\system32\xxyyxusR.dll (filesize 28288 bytes, MD5 DD979E4F9367B56069AEA4D71A8B2D92)
O2 - BHO: (no name) - {249FF88C-4152-4705-8F73-15E4633F841D} - (no file)

O2 - BHO: (no name) - {C396242E-B6B6-4B05-A755-72938F31ACB0} - (no file)

O3 - Toolbar: (no name) - {136717A3-DA9A-4322-997B-25D0843942F8} - (no file)

O20 - Winlogon Notify: xxyyxusR - C:\WINDOWS\SYSTEM32\xxyyxusR.dllC:\WINDOWS\SYSTEM32\xxyyxusR.dll

3.-Baja el SmitFraudFix (clic aquí) y ejecútalo iniciando en Modo seguro
4.-Saca un nuevo log del HijackThis y pega el contenido del archivo C:\rapport.txt

[kike]

Gracias por tu atención Mr_X,
Ya me descargué el ERUNT (confieso que no lo conocía) y actualicé mi versión de Smitfraud.
Voy a correrlos y más tarde pego el log de HJT y el otro.

A ver cómo me va.

Un saludo.

[kike]

Informe de pruebas realizadas:
Antes de realizar los procedimientos que me sugirió Mr_X, se me ocurrió actualizar el Spybot S&D a la versión 1.52 (tenía la versión 1.4). Con las bases de datos de hoy. Después procedí así:

1. Hice un backup del registro con ERUNT.
2. Ejecuté Spybot S&D en modo seguro y atrapó nada menos que al Virtumonde   en variantes muy recientes y un par de modificaciones de registro anómalas. Después de esto pude borrar manualmente el archivo xxyyxusR.dll.
3. Pasé HijackThis y borré la entrada O2 - BHO: (no name) - {1FE4BFC2-60DB-461C-B734-1D40F120299A} - C:\WINDOWS\system32\xxyyxusR.dll (filesize 28288 bytes, MD5 DD979E4F9367B56069AEA4D71A8B2D92), las demás que me indicó el Mod. ya no estabn.
4. Reinicié de nuevo en modo seguro y pasé el SmitfraudFix.
5. Pasé el ELISTARTA y atrapó otros tres archivos, luego Elitrip.

Terminada esta faena reinicié el pc en modo normal y ya todo estaba restablecido. No más intentos de conexión, no más popups, todo funcionando OK. El único bug fue que el antivirus no entraba como residente y tocó reinstalarlo, pero ya eso no son penas...

Los logs los pego en el siguiente post con fines informativos más que todo a no ser que en ellos encuentres otras entradas para borrar. Ahora la máquina va perfecto. De mi parte doy el tema por SOLUCIONADO. Muchas gracias Mr_X, me diste las luces necesarias para resolverlo.

Un saludo.

[kike]

Estos son los logas (uno en cada post pues el foro no los levantó juntos)

HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:30:24, on 07/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\totalcmd\TOTALCMD.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1FE4BFC2-60DB-461C-B734-1D40F120299A} - C:\WINDOWS\system32\xxyyxusR.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://anny-dani.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {D6E7CFB5-C074-4D1C-B647-663D1A8D96BF} (Facebook Photo Uploader 4) - http://upload.facebook.com/controls/FacebookPhotoUploader4_5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{19DB77CC-A08B-4958-9B67-BEBC6DAC1646}: NameServer = 200.13.249.101,200.13.224.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{19DB77CC-A08B-4958-9B67-BEBC6DAC1646}: NameServer = 200.13.249.101,200.13.224.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{19DB77CC-A08B-4958-9B67-BEBC6DAC1646}: NameServer = 200.13.249.101,200.13.224.254
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5769 bytes

[kike]

Aquí el log de ElistartA el log de Smitfraudfix (rapport.txt) es muy largo y parece que el foro no lo levanta.


     Mon Jul 07 17:52:54 2008
EliStartPage v16.64  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Julio del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Utiles\raros\AUTORUN.INF --> Eliminado, Winko(inf)
C:\WINDOWS\system32\SINTF32.DLL --> Eliminado, Spy-CmdLineExt
C:\WINDOWS\system32\SINTFNT.DLL --> Eliminado, Spy-CmdLineExt

Nº Total de Directorios:   4101
Nº Total de Ficheros:      39771
Nº de Ficheros Analizados: 12978
Nº de Ficheros Infectados: 3
Nº de Ficheros Limpiados:  3

     Mon Jul 07 18:10:38 2008
EliTriIP v4.93  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP

     Mon Jul 07 18:11:25 2008
EliTriIP v4.93  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   4100
Nº Total de Ficheros:      39770
Nº de Ficheros Analizados: 12150
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

[Mr_X]

Qué bien que se solucionó.

Sólo borrar la entrada que hace referencia al archivo que borraste:

Código: [Seleccionar]

O2 - BHO: (no name) - {1FE4BFC2-60DB-461C-B734-1D40F120299A} - C:\WINDOWS\system32\xxyyxusR.dll (file missing)

Saludos