dialeradmin

Responder
javiii
Mensajes: 3
Registrado: 02 Ene 2005, 23:11

dialeradmin

Mensaje por javiii » 02 Ene 2005, 23:17

cómo evitar que trate de conectarse sólo a dialeradmin.com

fircsix
Mensajes: 280
Registrado: 28 Nov 2004, 11:35
Ubicación: Buenos Aires Argentina

Mensaje por fircsix » 03 Ene 2005, 09:30

Si quieres saber mas:



http://vil.mcafeesecurity.com/vil/content/v_117729.htm



Bajate el Hijackthis 1.99



http://www.spywareinfo.com/~merijn/files/hijackthis.zip



Descarga y descomprimi, con todos los programas cerrados incluso el internet explorer, lo ejecutas, pulsa scan y luego en save, se abrira un fichero log txt con el resultado, hace un copiar y pegas el resultado como respuesta a este tema.



Saludos.

fircsix
"El sabio es aquel que sabe sin saber por qué, lo demás es sólo aprendizaje."

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 03 Ene 2005, 14:54

Arranca en modo seguro, y desactiva la restauracion de sistema si usas XP, y lanza los ntispywares que te indicamos en:



https://foros.zonavirus.com/viewtopic.php?t=4795



Pero piensa que si no tienes residente un antivirus como el McAfee que te lo controla, por entrar en las webs que lo tienen, te volverás a infectar.



No accedas a esta direccion si no tienes residente el McAfee enterprise, pero como aviso, os digo que este dialer intenta entrar si accedes a una web que encontré con el google buscando como enviar mensajes a moviles, que hasta ahora en España era gratis, y ahora no, y entrrando "mensajes a moviles" con el google, en cuarta posicion hay el link a http://www.smsya.com/asociados/pop.html cuya pagina web intenta descargar dicho Dialer. RAS



Si no estais protegidos, no entreis en dicha web, pues on entraría el bicho en suestion



saludos



ms, 2-01-2005

javiii
Mensajes: 3
Registrado: 02 Ene 2005, 23:11

Tras el análisis

Mensaje por javiii » 05 Ene 2005, 12:06

Esto es lo que sale tras el análisis:

Gracias







Logfile of HijackThis v1.99.0

Scan saved at 11:59:46, on 05/01/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\inetsrv\inetinfo.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\Archivos de programa\Analog Devices\SoundMAX\smagent.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE

C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Program Files\Windows TaskAd\WinTaskAd.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\WINDOWS\System32\tibs3.exe

C:\Archivos de programa\WinZip\Wzqkpick.exe

C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Windows TaskAd\WinSched.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\hh\Configuración local\Temp\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.160.100/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\ARCHIV~1\SEARCH~1\SEARCH~1.DLL

O2 - BHO: (no name) - {47512884-B8E3-E000-8257-A8DDE4D2AF4C} - C:\ARCHIVOS DE PROGRAMA\GREATFRAGBIKE\GRIM CLOCK.EXE (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [WindowsRegKey upd4te2d4te] mgwrlhcyp.exe

O4 - HKLM\..\Run: [Zone Alarm] vsmon.exe

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe

O4 - HKLM\..\Run: [CamMonitor] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [tibs3] C:\WINDOWS\System32\tibs3.exe

O4 - HKLM\..\RunServices: [WindowsRegKey upd4te2d4te] mgwrlhcyp.exe

O4 - HKLM\..\RunServices: [Zone Alarm] vsmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\MSN Messenger\msmsgs.exe" /background

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: MiniWanadoo - {eb641b44-fad9-4cd5-b68b-ebe947d556bf} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O12 - Plugin for .pdf: C:\ARCHIV~1\INTERN~1\PLUGINS\nppdf32.dll

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=925ca2de2b53e738e23fb8069526d5bb668ce3689745694e81f05212dff28c11a62a9894fc37ebccbb2b1c579f1baf69b8b6b98919153dcae4b7c5399dfcb456eac7bd:880c508c2c6a291101f64dc3f0db6853

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100797734671

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {7DA2F286-5687-11D3-BD45-00008631FA76} (palXCtl Class) - http://service.dialer.eresmas.com/miniWanadoo/Wanadoo1303.cab

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Fax - Unknown - C:\WINDOWS\system32\fxssvc.exe

O23 - Service: Administración de IIS - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Publicación en FTP - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe

O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: Panda Firewall Service - Unknown - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service - Unknown - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Protocolo simple de transferencia de correo (SMTP) - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe

O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\smagent.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Publicación en World Wide Web - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 05 Ene 2005, 12:09

Habiendo derivado este Tema a analisis del HJT, se mueve al apartado correspondiente al respecto



saludos



ms, 5-01-.2005

fircsix
Mensajes: 280
Registrado: 28 Nov 2004, 11:35
Ubicación: Buenos Aires Argentina

Mensaje por fircsix » 05 Ene 2005, 13:56

Actualiza el Win XP y el IE via Windows Update.

Bajate de nuevo el hijackthis pero esta vez guardalo en su propia carpeta (como C:/Limpiar). Inicia en modo seguro con system restore deshabilitado (XP y ME) y dale fix a estas:



R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.160.100/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {47512884-B8E3-E000-8257-A8DDE4D2AF4C} - C:\ARCHIVOS DE PROGRAMA\GREATFRAGBIKE\GRIM CLOCK.EXE (file missing)

O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\ARCHIV~1\SEARCH~1\SEARCH~1.DLL

O4 - HKLM\..\Run: [WindowsRegKey upd4te2d4te] mgwrlhcyp.exe

O4 - HKLM\..\Run: [tibs3] C:\WINDOWS\System32\tibs3.exe

O4 - HKLM\..\RunServices: [WindowsRegKey upd4te2d4te] mgwrlhcyp.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=925ca2de2b53e738e23fb8069526d5bb668ce3689745694e81f05212dff28c11a62a9894fc37ebccbb2b1c579f1baf69b8b6b98919153dcae4b7c5399dfcb456eac7bd:880c508c2c6a291101f64dc3f0db6853



Haz que se te vean todas las carpetas:

Doble click en Mi PC, click en Herramientas y Opciones de Carpeta

En pestaña Ver habilita "Mostrar todos los archivos y carpetas ocultos.

Deshabilita "Ocultar archivos protegidos del sistema"

Deshabilita "Ocultar las extensiones para tipos conocidos de archivos"



Elimina estas carpetas

C:\ARCHIVOS DE PROGRAMA\GREATFRAGBIKE

C:\ARCHIV~1\SEARCH~1



Wanadoo como pagina de inicio lo pusiste vos :?:

Seguiste el tutorial que te dejo msc :?:



Saludos.

fircsix
"El sabio es aquel que sabe sin saber por qué, lo demás es sólo aprendizaje."

javiii
Mensajes: 3
Registrado: 02 Ene 2005, 23:11

Funcionó. Gracias

Mensaje por javiii » 05 Ene 2005, 19:58

Hice lo que me dijisteis y funcionó.

Aunque no encontré las carpetas esas que había que eliminar.



Sí, puse yo la página wanadoo como inicio.



Gracias por todo, sois geniales!! :lol: :wink:

fircsix
Mensajes: 280
Registrado: 28 Nov 2004, 11:35
Ubicación: Buenos Aires Argentina

Mensaje por fircsix » 06 Ene 2005, 02:41

Pues muchas gracias y esperemos que no tengas mas problemas. :D



Saludos.

fircsix
"El sabio es aquel que sabe sin saber por qué, lo demás es sólo aprendizaje."

Responder

Volver a “Foro HijackThis - copia y pega tu log”