Algo se me ha colado esta tarde en el ordenador, porque aunque estoy navegando con firefox cada 15 minutos se me abre una pantalla de publicidad en internet explorer. Ya he pasado el antivirus (McAfee) y no ha detectado nada, y he mirado en el panel de control/agregar quitar programas y no he visto nada raro. ¿Qué más tengo que mirar?

Debes ejecutar al menos 2 antipywares:

Spybot Search & Destroy
Adaware SE Personal

Vale, voy a ello

Ni bien los termines de instalar, deberás actualizar las bases de definiciones en ambas antes de ejecutar el chequeo de tu ordenador (el clásico "Actualizar" o "Buscar actualizaciones")

  He pasado el primero y me ha encontrado 70 problemas, ahora voy con el adaware...

Ten en cuenta que esos programas también detectan cookies, de ahi que puedan encontrar elevada cantidad de items (fijate, ya que el en caso de ad-aware les da una calificación por tipo de riesgo); esto a título informativo. Yo por mi parte cuando ejecuto esos programas en alguna PC que no es mia, suelo eliminar todo lo que encuentren (cookies incluidas).

Ni idea, al lado de casi todos ponía algo de Troyano. He reiniciado, lo he vuelto a pasar sin conexión a internet y me ha detectado otros cuatro. He vuelto a limpiar, le he dado a un botón grande de inmunizar, he reiniciado y ahora estoy descargando el adware, que he tenido que desinstalar porque el otro me decía que tener los dos era incompatible... Mañana volveré a pasar el otro y pasaré este también a ver qué ocurre... Muchas gracias por las explicaciones Torry

No son incompatibles... es una advertencia que te hace.. yo estimo que mas por cuestiones de marketing que por otra cosa (yo hago caso omiso de la advertencia y le permito que se instale y ejecute), al menos no son incompatibles si no usas alguna protección residente (la de Spy Bot es el "tea timer"). Yo suelo dejar desativada esta opción ya que durante el uso normal de la PC suele ser bastante molesto con las adevertencias (por ejemplo al momento de instalar o desinstalar algún programa)

Bueno, esto no va muy bien. He pasado el spybot con y sin red, creo que ya van 4 veces, pero me sigue saliendo esto:

He borrado estas tres claves desde aquí y desde el regedit, incluso las he borrado estando en modo seguro. También he inmunizado, quiera decir lo que quiera decir eso. Pero en cuanto entro de nuevo lo primero que me encuentro es

No hay mucha información en internet sobre ésto, o no he conseguido encontrarlo...

El Ad-aware no he podido pasarlo, en cuanto lleva un minuto o dos me da un error y finaliza la exploración. Si no me equivoco, me sale cuando está escaneando c\Windows. Mientras está escaneando aparece Infecciones detectadas: 1, pero cuando se finaliza, en el resumen me dice que no ha hecho nada (Nº infecciones encontradas 0, Archivos escaneados 0). He intentado pasar la exploración inteligente y la exploración completa, las dos con el mismo final.

El error comienza así (lo tengo entero por si te dice algo)

aawservice.exe has unfortunately experienced an unhandled exception and was forced to close.

An unhandled exception occured at 0x003E10C0 in aawservice.exe

Exception Code    : 0xc0000005
Client version    : 0.853
Attached Debugger : 0

He probado a desinstalar el Spybot por si era ese el problema, no lo es. He buscado en internet y lo único que he encontrado es que es un problema del ordenador, pero no apunta a ningún sitio.

Más pruebas, ésto es parte de lo que tengo en el inicio. Los 3 de abajo, que están deshabilitados los desmarqué y reinicié, pero dos de ellos ha vuelto a cargarlos.

Y esto son los servicios de fabricante desconocido, el resto son de Microsoft. Los dos desmarcados son uno que no conocía y otro que he aprovechado para que no me de la lata, pero tras el reinicio, sigue pidiendo la misma dll

En Nod32-es.com he encontrado este programa que parece que sirve para eliminarlo (http://www.nod32-es.com/support/tools.htm)

Y según http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=3859

Este troyano crea los siguientes ficheros en el equipo infectado:

• Un archivo ejecutable en el directorio donde sea ejecutado el troyano. Aunque puede variar, el nombre de este archivo es usualmente SYSUPD.EXE. - esto no lo tengo
• DPUSYS.INI en el directorio donde es ejecutado el troyano.
• _UPDATE.DAT en el directorio temporal de Windows.
  Este archivo es una DLL (Librería de Enlace Dinámico) que registra las pulsaciones de teclado.

Y basta con borrar una clave que yo no tengo...

Bien... ya hemos avanzado; el molesto malware está en la mira... ahora hay que eliminarlo, he ahi la cuestión!
Vamos a tener que pasar a otra etapa, baja y ejectura HijackThis. Te aconsejo que nos postees el .txt que te va a generar al comienzo, una vez que lo veamos vamos a marcar ahi lo que tendrias que desactivar.

HijackThis

Este el log que me ha salido, ¿era ésto lo que querías ver?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:04:44, on 21/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\McAfee\VirusScan Enterprise\SHSTAT.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\McAfee\Common Framework\UdaterUI.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Archivos de programa\McAfee\Common Framework\McTray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe
C:\Archivos de programa\Palm\Hotsync.exe
C:\Archivos de programa\OpenOffice.org 2.3\program\soffice.exe
C:\Archivos de programa\OpenOffice.org 2.3\program\soffice.BIN
C:\Archivos de programa\McAfee\Common Framework\FrameworkService.exe
C:\WINDOWS\regedit.exe
C:\Archivos de programa\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Archivos de programa\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
D:\descargas\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://miforo.mforos.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {06961707-542a-4167-8281-62472ff38b9d} - C:\WINDOWS\system32\majiriho.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Archivos de programa\McAfee\VirusScan Enterprise\scriptcl.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [CPM5f45d084] Rundll32.exe "c:\windows\system32\vagiwara.dll",a
O4 - HKLM\..\Run: [piwutukeva] Rundll32.exe "C:\WINDOWS\system32\kodesalo.dll",s
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [piwutukeva] Rundll32.exe "C:\WINDOWS\system32\kodesalo.dll",s (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: OpenOffice.org 2.3.lnk = C:\Archivos de programa\OpenOffice.org 2.3\program\quickstart.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: OpenOffice.org 2.3.lnk = C:\Archivos de programa\OpenOffice.org 2.3\program\quickstart.exe (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Archivos de programa\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Archivos de programa\Palm\Hotsync.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/mic[....]client/wuweb_site.cab?1228642596906
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic[....]client/muweb_site.cab?1228642547484
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D625E26-BD32-4607-9F01-AA00579F10FC}: NameServer = 172.30.30.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{4D625E26-BD32-4607-9F01-AA00579F10FC}: NameServer = 172.30.30.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{4D625E26-BD32-4607-9F01-AA00579F10FC}: NameServer = 172.30.30.1
O20 - AppInit_DLLs: c:\windows\system32\vagiwara.dll,C:\WINDOWS\system32\darezolu.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\vagiwara.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\vagiwara.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Archivos de programa\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Archivos de programa\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Archivos de programa\McAfee\VirusScan Enterprise\VsTskMgr.exe

--
End of file - 6689 bytes

Te dejo resaltado lo que debes justamente tildar y luego pulsar "Fix Checked". Te va a pedir reiniciar, hazlo y luego nos cuentas.

¿Usas OpenOffice?... no te dije de sacar nada de eso ante la duda...

Sipes, pero si algo te da dudas, lo borramos y ya me lo volveré a bajar...

No. No lo borres; solo quería confirmar si realmente lo usabas. Primero quita lo que te dejé resaltado.

Pues no lo ha arreglado, pero de todas formas creo que no estoy haciendo algo bien. He marcado lo que me has dicho, he pulsado Fix Checked, me ha saltado un popup diciendo que tengo que cerrar todas las ventanas de IE o de Windows explorer antes de seguir (no tengo nada abierto, he cerrado por si acaso firefox) y no ha hecho nada. La lista ha desaparecido, me ha dejado el cuadro en blanco, no ha dado error, tampoco me ha dicho nada sobre que haya terminado el trabajo y no me ha pedido reiniciar. He reiniciado por si acaso y he vuelto a hacerlo y en vez de las 8 cosas que me has marcado sólo hay 6, pero ahí están...

Lo que me he descargado es el ejecutable, tenía que haber bajado otra cosa?

(No creo que tenga nada que ver, pero cuando estaba revisando lo que me habías puesto me he dado cuenta de que firefox ha perdido el foco un par de veces, pero no me ha abierto la ventana de publicidad de explorer ni ha hecho nada...)

Lo que está molestando seguramente tiene abierto el proceso IEXPLORE. Esto está complicado eh... se te ha metido algo que nos hace trabajar... ja

Haz esto:

Sal de todos los navegadores, vuelve a ejecutar Hijackthis, marca lo que quedó pendiente; pero antes de darle fixcheked abre al Administrador de tareas de Windows, ve a la solapa Procesos y termina cualquie proceso llamador iexplore y firefox (en caso de estar listado). Luego de eso, cirra el Administrador de tareas y haz lo que te dije en Hijackthis

No te abre mas ventanas porque ya lo hemos logrado casi desactivar.

El problema es que no está aparece el explorer pero no el iexplore

Hazme un resumen de como está la situación:

- ¿Ya no te arroja mas errores de inicio?
- ¿Ya no se abre mas IE con la publicidad?
- ¿Que sintomas han quedado?

PD: Regreso en unos minutos, te lo advierto asi no me esperas inmediatamente, si?

Buaaaaaaaaaaaaa

En este momento es mínimamente molesto, al reiniciar me sigue saliendo el error de que no encuentra kodesale.dll, o sea, que el problema sigue ahí, pero de momento no me están saltando popup de publicidad. En cualquier caso, estoy reiniciando tanto que tampoco le estoy dando tiempo... Aprovecho que te vas (gracias por avisar) para ver si siguen saltando y luego te cuento. Por cierto, este es el error que me sale, en ese momento había matado incluso el explorer.

Abre el editor de Registro (Regedit) y usa la opción buscar. Ahi busca estas 2 cosas (de una a la vez por supuesto)
kodesalo.dll
majiriho.dll

Una vez que lo hayas encontrado, elimina la clave key o clave del Registro que contenga esa referencia. Igual ten cuidado, ya que a veces hay que eliminar solo la referencia y no la clave completa (depende de dónde esté ubicado).

Me olvidé de decirte: luego de eliminar eso, cierra el Regedit y reinicia la PC normalmente.-

Supongo que vagiwara.dll y piwutukeva también, no? esta mañana he estado borrando durante un par de horas estas cosas hasta que me he dado cuenta de que se volvían a crear antes de que terminase... Si puede ayudar me voy al modo seguro sin funciones de red y lo hago desde ahí, a ver qué pasa... porque esta mañana no he conseguido eliminar eso...

Pero sí he conseguido cargarme OTRA VEZ el iconito de ir al escritorio del inicio rápido

En fin, me voy al modo seguro a ver qué tal... ahora vuelvo...

Es fácil reestablecerlo. Busca en tu PC el fichero Mostrarescritorio.scf y le haces un acceso directo o bien creas un nuevo botón en Inicio Rápido y lo apuntas contra ese fichero

Okis gracias, en cuanto recupere mi ordenador lo creo de nuevo. Ahora mismo lo tiene el informático de la casa, ejecutando el spybot en residente (?) para intentar que no se relance el bicho, pero aquí está, apareciendo de nuevo...

La ayuda de Torry es súper. Al margen de todo, esto me sugiere que tenés un ejecutable o un archivo con macros que te ha instalado todo este rollo en tu pc y no fue detectado en su momento (hacer una rutina que crea claves en el registro es relativamente fácil).

En definitiva: continúa con las indicaciones de Torry (más completa imposible), pero luego busca entre las instalaciones previas a que te aparezca esto (también puede ser que hayas ejecutado un archivo con macros), desde mi ver: lo que originó esto todavía lo tienes (aunque llama la atención que el escaneo todavía no lo haya detectado).

Sea lo que sea, sigue ejecutándose sólo. Parece que la dll está metida en el winlogon, así que el próximo paso es entrar con una knoppix a ver si puede quitarlo de ahí... En este momento, yo me limito a retransmitir la jugada nada más

La ayuda de Torry es super, porque TORRY ES SUPER

(Por cierto GestionXLS, ando detrás de mirar lo de los conversores, esta mañana probé uno de ellos y me seguía convirtiendo el texto igual de mal, exactamente los mismos simbolitos en el mismo sitio... supongo que estará codificado de alguna manera)

Si habías logrado eliminar lo que te dije del Registro había muy buenas posibilidades de que no te molestara más; me refiero al asunto de eliminar las referencias a las .DLL. Fijate que no hay quedado ninguna referencia, ya que con el hecho de quede alguna puede volver a cargarse

Lo que sigue ahora es mas complicado... una de las cosas que se me ocurren es iniciar la PC como Solo Simbolo de sistema. Una vez ahi... dirigirte mediante la linea de comandos a la carpeta Windows\System32 y ahi eliminar las librerias mencionadas con el clasico comando DEL. Si quieres te explico como.. ya que deberás cambiar de directorios usando el comando CD o chdir...

Otra alternativa es usar Ewido (ahora avg antispyware), el cual suele resultar efectivo para casos asi. Si quieres bajalo, ejecutalo y actualizalo, Luego escanea; te va a mostrar las cosas que encontró, ajusta los TODOS valores a ELIMINAR  y pulsa Ejecutar Acción. La cuestión es que acabo de mirar... y estan en pleno proceso de fusion de versiones... yo tengo instalado ewido antispyware pero ya no lo ofrecen mas, ya que lo reemplaza AVG 8. Si quieres probar: http://www.avg.com/download

El problema es que no llego a eliminar las dll, busco los nombres y cuando he terminado con ellas, ya se han vuelto a cargar, es inmediato...

Me dice el informático que esto es lo que estamos haciendo pero con la knoppix, ya me contarás cómo se hace ésto el día que tengas ganas (vamos, o lo busco por la red). Empiezo a sentirme culpable porque estés tanto tiempo dedicado a esto (Lim, falta un emoticono ruborizado)