Tema: Problemas con WebDialer

[talgo]

Hola FatsGordon, unos comentarios previos:

No encontrados y por lo tanto no se pueden copiar a la carpeta BASURA los siguientes archivos:

C:\ARCHIV~1\CLOSEB~1\Daleabout.exe
c:\docume~1\toni\datosd~1\service.exe
C:\WINDOWS\System32\system.exe

El archivo Dalabout.exe no esta, No aparece no con el buscador.

El service.exe no es ta en esa carpeta, el buscador pone: service - service.exe - Process Information   y esta en la carpeta   liutilities ('www.liutilities.com)

El system.exe, el buscador de windows lo encuentra en C:\Documents and Setting\All Users\Datos de programa\Spybot - Search&Destroy\Recover\HeltzLittleSpy.zip

------------------------------------------------------------------------------

La entrada   04 - HKLM\..\Run:[messengerPlus] "C:\Archivos de programa\Messenger Plus!3MsgPlus.exe"   no la encontre por lo que no fue marcada.


Una vez reiniciado en modo a prueba de fallos busco los archivos para borrarlos y no encuentro los siguientes:

C:\WINDOWS\System32\opm.dll
C:\ARCHIV~1\CLOSEB~1\Daleabout.exe
c:\docume~1\toni\datosd~1\service.exe
C:\WINDOWS\Sustem32\system.exe

por lo que no son borrados.

----------------------------------------------------------

El log del HT despues de reiniciar el ordenador es el siguiente:

Logfile of HijackThis v1.97.7
Scan saved at 3:13:46, on 10/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE
C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe
C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe
C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe
C:\ARCHIV~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Trend Micro\Internet Security\Tmntsrv.exe
C:\Archivos de programa\Trend Micro\Internet Security\tmproxy.exe
C:\Archivos de programa\Trend Micro\Internet Security\PccPfw.exe
C:\hijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C81B3D98-CAD3-4D2E-AABA-00B4F2595918} - C:\WINDOWS\System32\eiiibaa.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [CamMonitor] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Archivos de programa\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [Ad-aware] "C:\Archivos de programa\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [TrojanScanner] C:\Archivos de programa\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Kit Ya.com ADSL] E:\Instalar.EXE
O4 - HKCU\..\Run: [LDM] C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ulead Photo Express Verificador de Calendario.lnk = C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2e529727a6ef04/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C66DBA4C-FCAA-4953-B7F6-5ABFEC9AD6CF}: NameServer = 62.151.2.8,62.151.8.100



Saludos

[FatsGordon]

No encontrados y por lo tanto no se pueden copiar a la carpeta BASURA los siguientes archivos:

C:\ARCHIV~1\CLOSEB~1\Daleabout.exe
c:\docume~1\toni\datosd~1\service.exe
C:\WINDOWS\System32\system.exe

El archivo Dalabout.exe no esta, No aparece no con el buscador.

El service.exe no es ta en esa carpeta, el buscador pone: service - service.exe - Process Information   y esta en la carpeta   liutilities ('www.liutilities.com)

El system.exe, el buscador de windows lo encuentra en C:\Documents and Setting\All Users\Datos de programa\Spybot - Search&Destroy\Recover\HeltzLittleSpy.zip

No importa, ya no están, evidentemente. El service.exe es un archivo malware, parece de sistema pero no lo es. El system.exe probablemente te lo haya eliminado el SpyBot y lo que quedó lo eliminamos con el HijackThis (la llamada).

La entrada   04 - HKLM\..\Run:[messengerPlus] "C:\Archivos de programa\Messenger Plus!3MsgPlus.exe"   no la encontre por lo que no fue marcada.

Si desinstalaste el MessengerPlus, es lógico que no la encuentres.

Una vez reiniciado en modo a prueba de fallos busco los archivos para borrarlos y no encuentro los siguientes:

C:\WINDOWS\System32\opm.dll
C:\ARCHIV~1\CLOSEB~1\Daleabout.exe
c:\docume~1\toni\datosd~1\service.exe
C:\WINDOWS\Sustem32\system.exe

por lo que no son borrados.

Ok.

Lo que queda ahora, luego de limpiar (por eso fue útil limpiar primero), es el CWS about:blank. Como te dije, parte de lo que eliminamos volvió...

Para limpiarlo empecemos por saber quién es el que provoca esto.

Seguí mis instrucciones:

Bajate 'Dllfix.exe' de:
http://tools.zerosrealm.com/dllfix.exe

Es un archivo autoextraíble; hacé doble click en él.

Abrí la carpeta DLLFIX y hacé doble click en Start.bat.

En el menú principal presioná '1' (Run Find-All by FreeAtLast) y enter.
Dejá que el programa corra.
Cuando termine, presioná 'E' para salir.

Abrí la carpeta DLLFix.

1. Publicá los contenidos de Output.txt.
2. Publicá también los contenidos de Windows.txt.

[talgo]

Hola esto es lo que pone en el Output.txt

--==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==--
--==***@@@ ORIGINAL BY FREEATLAST           @@@***==--
 
10/06/2004
16:40
 
System Info:

Microsoft Windows XP [Versi¢n 5.1.2600]
C: "" (68C6:21AA) - FS:NTFS clusters:4k
Total: 80 015 491 072 [75G] - Free: 37 668 724 736 [35G]
 
 
 *IE version and Service packs:
             6.0.2800.1106  C:\Archivos de programa\Internet Explorer\Iexplore.exe
 *Notepad version :
                5.1.2600.0  C:\WINDOWS\system32\notepad.exe
                5.1.2600.0  C:\WINDOWS\notepad.exe
 *Media Player version :
                9.0.0.2980  C:\Archivos de programa\Windows Media Player\wmplayer.exe

! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    MinorVersion   REG_SZ   ;SP1;Q818529;Q330994;Q822925;

 
 
Locked or 'Suspect' file(s) found...
 
 
Scanning for main Hijacker:
File found was C:\WINDOWS\System32\EIIIBAA.DLL
Md5 tested As 4E24A18F3A557AF479219E47E27B8B59
 
 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}]
@="NAV Helper"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C81B3D98-CAD3-4D2E-AABA-00B4F2595918}]

REGEDIT4

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]
"CLSID"="{23D0A32D-9B66-4807-B37C-BAD2C2D676B6}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]
"CLSID"="{23D0A32D-9B66-4807-B37C-BAD2C2D676B6}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"


! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    AppInit_Dlls   REG_SZ   

*Security settings for 'Windows' key:
 

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(NI)    ALLOW  Read           BUILTIN\Usuarios
(IO)    ALLOW  Read           BUILTIN\Usuarios
(NI)    ALLOW  Read           BUILTIN\Usuarios avanzados
(IO)    ALLOW  Read           BUILTIN\Usuarios avanzados
(NI)    ALLOW  Full access    BUILTIN\Administradores
(IO)    ALLOW  Full access    BUILTIN\Administradores
(NI)    ALLOW  Full access    NT AUTHORITY\SYSTEM
(IO)    ALLOW  Full access    NT AUTHORITY\SYSTEM
(NI)    ALLOW  Full access    BUILTIN\Administradores
(IO)    ALLOW  Full access    CREATOR OWNER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read             BUILTIN\Usuarios
Read             BUILTIN\Usuarios avanzados
Full access      BUILTIN\Administradores
Full access      NT AUTHORITY\SYSTEM







Saludos

[talgo]

Y este es de Winwows.txt

regf
 
         
        
         
                                                                                                                                                                                                                                                                                                                                                                                                                                                                              Pugf                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                hbin                           ¨ÿÿÿnk, †<×LGÄ
   ÿÿÿÿ        ÿÿÿÿÿÿÿÿ   @  x   ÿÿÿÿ        0   @   T      Windows Èþÿÿsk  x   x  
  
 
”
 
         ì
       
         !  
    €
         !      
         #  
    €
         #     ? 
            
    
               ? 

        
    

          ? 
            
    

        
            

           Øÿÿÿvk @   Ø
 
 
fùAppInit_DLLs֍æG¸ÿÿÿC : \ W I N D O W S \ S y s t e m 3 2 \ s q l e n k d . d l l   p p    °
 Ðÿÿÿvk    X  
 
ÀUDeviceNotSelectedTimeoutðÿÿÿ1 5  
o£Þ—ðÿÿÿ9 0    HZ Ðÿÿÿvk   €'    
GDIProcessHandleQuota,­2àÿÿÿvk    È  
 

Spoolerwðÿÿÿy e s   éÔ=p   °
 (  x  ¨  ð  àÿÿÿvk   €    
 
.   swapdiskÐÿÿÿvk    h  
 
J TransmissionRetryTimeoutàÿÿÿ°
 (  x  ¨  ð    `  Ðÿÿÿvk   €'    
, USERProcessHandleQuota, p                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              


Saludos

[FatsGordon]

Ok, ya la tenemos a la vista. Se trata del archivo sqlenkd.dll

Tal vez si lo buscás (no te pido que lo hagas) no lo encuentres. Vamos a seguir la "receta" al pie de la letra, a ver si podemos eliminarlo.

Ahora hacé lo siguiente:

Abrí la carpeta DLLFIX y hacé doble click en Start.bat.
En el menú principal poné '2' (Run Fix) y apretá Enter.

En el segundo menú apretá '1' (Enter DLL Name Manually) y Enter.

En el prompt ingresá: sqlenkd.dll y apretá Enter.

El sistema reiniciará sólo en 15 segundos y comenzará la cura.

Cuando termine habrá un archivo llamado log.txt en la carpeta DLLFIX. Publicá el contenido de ese archivo.

[talgo]

Este es el resultado que muestra el archivo logs.txt:


CWSDLL/Searchx Appinit Fix By Shadowwar
Version  3.01  060504
Please Do not mirror Without Permission!
I can be contacted at spywaresubmit at aol.com
10/06/2004
18:08
 
Backing up Registry Hive

La operación finalizó correctamente
 
Deleting Windows Key

La operación finalizó correctamente
 
Adding Test Windows Key

La operación finalizó correctamente
 
Restoring temp Values Key

La operación finalizó correctamente
 
Deleting Bad Appinit Value

La operación finalizó correctamente
 
 
Backup of Modified Hiv

La operación finalizó correctamente
 
Deleting test Windows key

La operación finalizó correctamente
 
Deleting Filter text
Running from C:\Documents and Settings\Toni\Escritorio\dllfix
Scanning for Locked File
Unlocking Locked File
 
C:\WINDOWS\System32\SQLENKD.DLL  
Scanning For main hijacker.
Found Main Hijacker Dll:C:\WINDOWS\System32\EIIIBAA.DLL
Md5 tested As 4E24A18F3A557AF479219E47E27B8B59
Processing File Manually
C:\WINDOWS\system32\sqlenkd.dll
Md5 Check of C:\WINDOWS\system32\sqlenkd.dll
 
Md5 tested As C185B36F9969D3A6D2122BA7CBC02249
Md5 matched known baddies.
Processing and Deleting File.
Processing ACL of: <\\?\C:\WINDOWS\system32\sqlenkd.dll>

SetACL finished successfully.
 
File was successfully Deleted.
Please Run Hijackthis or Cwshredder to finish cleanup.
 
 
Adding Back Windows Key

La operación finalizó correctamente
 
Restoring Registry Hive

La operación finalizó correctamente
 
 
Restoring Cleaned Appinit Value

La operación finalizó correctamente





Saludos

[FatsGordon]

Muy bien!!!! Ya vamos llegando. :D

El archivo fue eliminado. Ahora reiniciá la máquina y lo primero que vas a hacer es correr el HijackThis. Luego publicá el log.

Lo que sigue ahora es la limpieza final, así que falta poquitito...

[talgo]

Este es el log del HT:


Logfile of HijackThis v1.97.7
Scan saved at 19:05:39, on 10/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE
C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe
C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe
C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe
C:\ARCHIV~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Trend Micro\Internet Security\Tmntsrv.exe
C:\Archivos de programa\Trend Micro\Internet Security\tmproxy.exe
C:\Archivos de programa\Trend Micro\Internet Security\PccPfw.exe
C:\hijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C81B3D98-CAD3-4D2E-AABA-00B4F2595918} - C:\WINDOWS\System32\eiiibaa.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [CamMonitor] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Archivos de programa\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [Ad-aware] "C:\Archivos de programa\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [TrojanScanner] C:\Archivos de programa\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Kit Ya.com ADSL] E:\Instalar.EXE
O4 - HKCU\..\Run: [LDM] C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ulead Photo Express Verificador de Calendario.lnk = C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2e529727a6ef04/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C66DBA4C-FCAA-4953-B7F6-5ABFEC9AD6CF}: NameServer = 62.151.2.8,62.151.8.100



No me canso de daros las gracias por el tiempo que dedicais a ayudar a los que necesitamos de vuestros consejos y ayuda.

Saludos

[FatsGordon]

Para eso estamos (cuando podemos ).

Nuevamente cerrá TODOS los programas y (MUY IMPORTANTE) ventanas del navegador y abrí el HT.  Presioná Scan y a continuación marcá los siguientes ítemes:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {C81B3D98-CAD3-4D2E-AABA-00B4F2595918} - C:\WINDOWS\System32\eiiibaa.dll

y apretá Fix checked. Cerrá el HT. Actualizá el Ad-aware (sólo actualizalo) y reiniciá en modo a prueba de fallos. Buscá el archivo C:\WINDOWS\System32\eiiibaa.dll y ELIMINALO (sin asco).

Después abrí el Ad-aware y realizá un escaneo FULL (Custom), creo que ya hicimos, sino fijate en este mismo foro cómo se hace (es la segunda opción de las tres que hay) y qué hay que setear. ELIMINÁ todo lo que encuentres. Luego reiniciá en modo normal y hacé lo mismo. Luego reiniciá otra vez (modo normal) y publicá un nuevo log del HijackThis.

[FatsGordon]

Por las dudas, fijate que lo acabo de editar (le agregué la eliminación del archivo C:\WINDOWS\System32\eiiibaa.dll.