Tema: luchar contra los espias informaticos. Ayuda por favor!!!!!

[rosaescala]

Soy yo, y otra vez tengo el mismo problema,  supongo que alguien que tambien tiene acceso a mi ordenador no ha tenido el cuidado que yo siempre tengo con las paginas sospechosas.
Pero bueno el problema es que el link que soluciono el problema ahora no me funciona porque aparece el mensaje que la configuracion actual de mi ordenador no me permite la descarga de este archivo, he desactivado el adware, y firewall y nada, también lo he intentado modificando en opciones de internet el nivel de seguridad.Supongo que sera muy facil pero no me atrevo a modificar mucho esas opciones.
Por favor si alguien tiene alguna solucion.
Graciasssssss

[Dabo]

hola rosa, prueba a hacerlo en modo a prueba de fallos que seguramente te deje bajarlo, vuelve tras tus pasos y repite los procesos borrando tambien los temporales de internet y cokies a ver que pasa

saludos  :wink:

[rosaescala]

He intentado bajarmelo en modo a prueba de fallos pero no me deja conectarme a internet,de esta forma. He pasado dos antivirus(AVG y the cleaner) y no tengo ni virus ni troyanos.
He pensado en bajarme el Kaspersky porque he leido que elimina el malware o como se llame lo de la dichosa barra,ni siquiera puedo eliminar las paginas que ha introducido en favorito, bueno no se si me explico bien....si teneis alguna sugerencia
Graciassssssss

[Danae]

Mira bien, hay una opción de "a prueba de fallos con opciones de red" y así si te puedes conectar.

De todos modos, intenta esta vez, guardarla en tu pc, por si en futuras ocasiones te hiciera falta.

Saludos

[rosaescala]

he intentado conectarme a internet en modo a prueba de fallos y no puedo, no aparece nada en la carpeta de conexiones.
En modo a prueba de fallos he escaneado varias veces con dos antivirus(AVG y the cleaner) y no detecta nada.
Y también con dos antiespias (ad ware y spy bot) detecta varias cosas las elimino o pongo en cuarentena y al volver a escanear vuelven a aparecer
Me he bajado el HijackThis y sólo encuentro algo sospechoso claro que no me atrevo a eliminar nada mas, de todas formas al eliminarlo y escaear otra vez vuelve a aparecer, ya lo haga en modo seguro o normal.
No se que hacer para eliminar la barra!Dejo aqui lo que me detecta el HijackThis por si alguien sabe si debo eliminar algo mas.
Muchas Graciasssss

Este es el que siempre elimino, R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.cchjqhdwcyohrnokbevhkuy.com/6zf27JQ4RaRaXsgNBm00K2NdFIZ6Hlv5wKB_3vuiLe2Wc07Zfapav2l1D_35KWin.html



Logfile of HijackThis v1.99.0
Scan saved at 14:17:55, on 12/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\ARCHIV~1\Launch Manager\LaunchAp.exe
C:\ARCHIV~1\Launch Manager\PowerKey.exe
C:\ARCHIV~1\Launch Manager\HotkeyApp.exe
C:\ARCHIV~1\Launch Manager\CtrlVol.exe
C:\ARCHIV~1\Launch Manager\Wbutton.exe
C:\Archivos de programa\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Archivos de programa\ltmoh\Ltmoh.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Archivos de programa\The Cleaner\tca.exe
C:\Archivos de programa\The Cleaner\tcm.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Skype\Phone\Skype.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\archiv~1\intern~1\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\ARCHIV~1\YAHOO!\MESSEN~1\ypager.exe
c:\archiv~1\intern~1\iexplore.exe
C:\Documents and Settings\Rosa Escala\Mis documentos\Mis archivos recibidos\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.cchjqhdwcyohrnokbevhkuy.com/6zf27JQ4RaRaXsgNBm00K2NdFIZ6Hlv5wKB_3vuiLe2Wc07Zfapav2l1D_35KWin.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {21AF1157-D0D5-6D0F-F0C1-B06B972C8EB6} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {70786919-7997-56F5-DA05-7A477DE81AC0} - C:\DOCUME~1\ROSAES~1\DATOSD~1\TRUSTT~1\flaw upload.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\ARCHIV~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\ARCHIV~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\ARCHIV~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\ARCHIV~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\ARCHIV~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Archivos de programa\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Archivos de programa\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Archivos de programa\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Spyware Cleaner] C:\Archivos de programa\DreamGroup\sin-espias\No-Spy.exe
O4 - HKLM\..\Run: [LITEFORK4BLAH] C:\Documents and Settings\All Users\Datos de programa\Two Mpeg Lite Fork\Name mags.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [tcactive] C:\Archivos de programa\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Archivos de programa\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ChkMail] °<9
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Yahoo! Pager] C:\ARCHIV~1\YAHOO!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [OnlineCdrom] C:\DOCUME~1\ROSAES~1\DATOSD~1\ATOMDE~1\32third.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O12 - Plugin for .mp3: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab30149.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A926689-CE26-4BA6-8C9A-AD2476FCDE11}: NameServer = 62.37.228.20 62.37.225.58
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

[FatsGordon]

Hola!

Por favor, reiniciá la máquina en modo seguro o a prueba de fallos ( F8 ), corré el HijackThis sin abrir ninguna ventana de browser y marcá lo que sigue:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.cchjqhdwcyohrnokbevhkuy.com/6zf27JQ4RaRaXsgNBm00K2NdFIZ6Hlv5wKB_3vuiLe2Wc07Zfapav2l1D_35KWin.html
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {21AF1157-D0D5-6D0F-F0C1-B06B972C8EB6} - (no file)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab30149.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab


Luego apretá Fix checked.

Fijate qué es esto, y si no son programas que instalaste vos a sabiendas, también eliminalos:

O2 - BHO: (no name) - {70786919-7997-56F5-DA05-7A477DE81AC0} - C:\DOCUME~1\ROSAES~1\DATOSD~1\TRUSTT~1\flaw upload.exe
O4 - HKLM\..\Run: [LITEFORK4BLAH] C:\Documents and Settings\All Users\Datos de programa\Two Mpeg Lite Fork\Name mags.exe
O4 - HKCU\..\Run: [OnlineCdrom] C:\DOCUME~1\ROSAES~1\DATOSD~1\ATOMDE~1\32third.exe
O4 - HKCU\..\Run: [ChkMail] °<9

El Messenger Plus a algunos usuarios les ha traído problemas. Depende de vos si lo querés seguir usando o no.
 
El Spyware Cleaner está en la lista suministrada por nuestro amigo 69anonimo69 en http://www.daboweb.com/phpBB2/viewtopic.php?t=6985
Mi consejo es que lo cambies por alguno que no esté en dicha lista, a menos que puedas chequear que ya no tiene problemas.

Si lo que está a continuación (el rango de IP) no pertenece a tu proveedor de internet, también sacalo:

O17 - HKLM\System\CCS\Services\Tcpip\..\{8A926689-CE26-4BA6-8C9A-AD2476FCDE11}: NameServer = 62.37.228.20 62.37.225.58

Luego de todos estos cambios / desinstalaciones, por favor publicá un log del HijackThis nuevo.

[rosaescala]

Muchas Gracias por tu ayuda!!
Hice lo que me dijiste pero sigue apareciendo la barra, supongo que porque el archivo en cuestion este
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.zrndmjoffnolybkbtlqriv.com/6zf27JQ4RaRaXsgNBm00K2NdFIZ6Hlv5wKB_3vuiLe1rkj6MUMm43Wl1D_35KWin.html
sigue apareciendo pero con distinto nombre. Volvi a pasar el antivirus(AVG) y me aparecio un virus el Java/ByteVerify, supuestamente lo ha eliminado..
Este archivo O4 - HKLM\..\Run: [Spyware Cleaner] C:\Archivos de programa\DreamGroup\sin-espias\No-Spy.exe
no es creo de ningun programa que yo haya instalado, el que yo instale es el The cleaner.
En cuanto a mi IP, no es el que aparece,pero queria preguntarte mi IP es que sale en mi conexion de internet no?como observaras no tengo mucha idea...
Bueno aqui esta mi log, no se que mas borrar.
Graciasssssssss


Logfile of HijackThis v1.99.0
Scan saved at 14:38:15, on 13/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\ARCHIV~1\Launch Manager\LaunchAp.exe
C:\ARCHIV~1\Launch Manager\PowerKey.exe
C:\ARCHIV~1\Launch Manager\HotkeyApp.exe
C:\ARCHIV~1\Launch Manager\CtrlVol.exe
C:\ARCHIV~1\Launch Manager\Wbutton.exe
C:\Archivos de programa\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Archivos de programa\ltmoh\Ltmoh.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Archivos de programa\The Cleaner\tca.exe
C:\Archivos de programa\The Cleaner\tcm.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Skype\Phone\Skype.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARCHIV~1\YAHOO!\MESSEN~1\ymsgr_tray.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgwb.dat
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\Rosa Escala\Escritorio\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.zrndmjoffnolybkbtlqriv.com/6zf27JQ4RaRaXsgNBm00K2NdFIZ6Hlv5wKB_3vuiLe1rkj6MUMm43Wl1D_35KWin.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\ARCHIV~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\ARCHIV~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\ARCHIV~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\ARCHIV~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\ARCHIV~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Archivos de programa\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Archivos de programa\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Spyware Cleaner] C:\Archivos de programa\DreamGroup\sin-espias\No-Spy.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [tcactive] C:\Archivos de programa\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Archivos de programa\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Yahoo! Pager] C:\ARCHIV~1\YAHOO!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [OnlineCdrom] C:\DOCUME~1\ROSAES~1\DATOSD~1\ATOMDE~1\32third.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O12 - Plugin for .mp3: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A926689-CE26-4BA6-8C9A-AD2476FCDE11}: NameServer = 62.37.228.20 62.37.225.58
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

[FatsGordon]

Lo que yo te decía es del rango de IP de tu proveedor de internet. En general si copiás textual el rango IP (en este caso es 62.37.228.20 62.37.225.58 ) y lo ponés en Google te aparece información relacionada y podrías ver si tiene o no que ver con tu proveedor. Si no tiene nada que ver habría que eliminarlo, pero siempre tené cuidado con esa línea porque podrías quedarte sin conexión.

Siempre tené en cuenta que el HijackThis hace backup de lo que le pidas que elimine. Esto es por defecto, ya que si uno NO quiere que se haga backup hay que especificarlo explícitamente. El backup se encuentra en una subcarpeta dentro de la que esté el HijackThis (por eso es importante que tenga su propia carpeta).

Fijate si tenés forma de desinstalar el Spyware Cleaner, sea con su propio desinstalador o por medio del Panel de control->Agregar o quitar programas.

También me sigue resultando sospechosa la línea O4 - HKCU\..\Run: [OnlineCdrom] C:\DOCUME~1\ROSAES~1\DATOSD~1\ATOMDE~1\32third.exe dado que donde lo encuentro recomiendan eliminarlo.

Mi consejo es que lo elimines, que busques TODOS los archivos que eliminamos de la ejecución en el HijackThis y los borres manualmente junto a sus carpetas, y que luego pases el DiskCleaner:

http://www.trucoswindows.net/detalles-110-disk_cleaner_151190.html

Lo instalás, lo corrés, marcás las casillas System Tempory Files, Tempory Internet Files, Internet Cookies y las demás que te parezca marcar y después apretás Clean.

Los archivos y/o carpetas a borrar son:

C:\DOCUME~1\ROSAES~1\DATOSD~1\ATOMDE~1\32third.exe
C:\DOCUME~1\ROSAES~1\DATOSD~1\ATOMDE~1\
C:\DOCUME~1\ROSAES~1\DATOSD~1\TRUSTT~1\flaw upload.exe
C:\DOCUME~1\ROSAES~1\DATOSD~1\TRUSTT~1\
C:\Documents and Settings\All Users\Datos de programa\Two Mpeg Lite Fork\Name mags.exe
C:\Documents and Settings\All Users\Datos de programa\Two Mpeg Lite Fork\


Si no pudiste eliminar el Spyware Cleaner andá y borrá también la carpeta (y todos sus archivos):

C:\Archivos de programa\DreamGroup\

Cuando hayas hecho todo eso, reiniciá la máquina, corré nuevamente el HijackThis, eliminá la línea:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.zrndmjoffnolybkbtlqriv.com/6zf27JQ4RaRaXsgNBm00K2NdFIZ6Hlv5wKB_3vuiLe1rkj6MUMm43Wl1D_35KWin.html

Volvé a reiniciar la máquina y volvé a ejecutar el HijackThis. Independientemente de lo que veas publicá el log.

[rosaescala]

Hola!!!!
perdon por tardar pero no se por que ayer no pude entrar en el foro.
De lo que me dijiste que eliminara manualmente esto es lo que no he podido C:\DOCUME~1\ROSAES~1\DATOSD~1\ATOMDE~1\32third.exe  me dice que 32third.exe esta siendo utilizado y por eso no lo puedo eliminar, aunque yo no este haciendo nada en ese momento

Ahora la barra que sale abajo ni si quiera la puedo cerrar.Y me han aparecido muchas carpetas y ejecuciones en mis documentos que claro no se si borrar por que no se que son.
Te vuelvo a dejar el log, aunque ya estoy perdiendo la esperanza y creo que acabare copiando todo lo importante y formateando....aunque para el caso cualquier otro dia volvera aparecerme la dichosa barra.
Muchas Graciasssssssss

Logfile of HijackThis v1.99.0
Scan saved at 14:37:31, on 17/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\ARCHIV~1\Launch Manager\LaunchAp.exe
C:\ARCHIV~1\Launch Manager\PowerKey.exe
C:\ARCHIV~1\Launch Manager\HotkeyApp.exe
C:\ARCHIV~1\Launch Manager\CtrlVol.exe
C:\ARCHIV~1\Launch Manager\Wbutton.exe
C:\Archivos de programa\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Archivos de programa\ltmoh\Ltmoh.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Archivos de programa\The Cleaner\tca.exe
C:\Archivos de programa\The Cleaner\tcm.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\svchost.exe
c:\archiv~1\intern~1\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\ARCHIV~1\YAHOO!\MESSEN~1\ypager.exe
C:\Documents and Settings\Rosa Escala\Escritorio\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wewjtziixciwkmjiya.net/6zf27JQ4RaRaXsgNBm00K2NdFIZ6Hlv5wKB_3vuiLe19ofkTWSoqUGl1D_35KWin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\ARCHIV~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\ARCHIV~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\ARCHIV~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\ARCHIV~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\ARCHIV~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Archivos de programa\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Archivos de programa\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [tcactive] C:\Archivos de programa\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Archivos de programa\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\ARCHIV~1\YAHOO!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [OnlineCdrom] C:\DOCUME~1\ROSAES~1\DATOSD~1\ATOMDE~1\32third.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O12 - Plugin for .mp3: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A926689-CE26-4BA6-8C9A-AD2476FCDE11}: NameServer = 62.37.228.20 62.37.225.58
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

[rosaescala]

Y respecto al programa disk cleaner la verdad es que no se utilizarlo muy bien, ¿se supone que al darle a clean borro directamente los archivos o solo los limpios?, es que aparecen cosas que no creo q deba borrar.