Troyanos y Dialer (SOLUCIONADO)

[alebrijemx]

Hola, solicito su ayuda , ya que he tratado de eliminar el dialer -263 que se encuantra en los archivos temporales de internet , y los troyanos pokapoka63[1], que se encuantra en la misma carpeta y otro el pokapoka63 que se encuantra en C/windows/etd. y tambien me salen vetanas de publicidad, estos me entraron al parecer porque mi hijo instalo una barra de herramienta, y para poder quitarla tube que bajar un programa para desistalarla , y la barra se quito mas no los bichos.ya he tratado de quitarlos por todos los medios que conosco y siempre vuelven a salir, ya le pase el antivirus online y el de la pc,el spybot y el ad-aware en modo a prueba de errores y desactivado el restaurador de sistema , y tambien al iniciar se satura el procesador ,y por lo consiguiente la pc. se satura con el proceso cmd.exe :cry:



Aqui le pongo mi logo haber si me pueden ayudar

Logfile of HijackThis v1.99.1

Scan saved at 12:52:37 a.m., on 07/09/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\crypserv.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\ARCHIV~1\NETWOR~1\COMMON~1\naPrdMgr.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\LTSMMSG.exe

C:\WINDOWS\System32\ezSP_Px.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\evntsvc.exe

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe

C:\WINDOWS\System32\qttask.exe

C:\Archivos de programa\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\WINDOWS\WDVRCtrl.exe

C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\ARCHIV~1\FASTDE~1\FAST2.EXE

C:\WINDOWS\etb\pokapoka61.exe

C:\Archivos de programa\Expedience LinkMonitor\LinkMonitor.exe

C:\Archivos de programa\Sony\VAIO Action Setup\VAServ.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\memo\Mis documentos\Mis Descargas\hijackthis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.type2find.com/sp2.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.type2find.com/sp2.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.type2find.com/sp2.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mx.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sony-latin.com/registration/vaio

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

O4 - HKLM\..\Run: [TkBellExe] C:\Archivos de programa\Archivos comunes\Real\Update_OB\evntsvc.exe -osboot

O4 - HKLM\..\Run: [ScanRegistry] C:\W

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [WinDVRCtrl] C:\WINDOWS\WDVRCtrl.exe

O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE

O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [Windows Installer] C:\WINDOWS\system32\ntdll.exe

O4 - HKLM\..\Run: [Windows Spooler] C:\WINDOWS\system32\spoolsv32.exe

O4 - HKLM\..\Run: [Windows DLL Host] C:\WINDOWS\system32\dllhost32.exe

O4 - HKLM\..\Run: [lsass] C:\windows\system32\eliteryc32.exe

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKCU\..\Run: [FAST Defrag] C:\ARCHIV~1\FASTDE~1\FAST2.EXE -tray

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Expedience LinkMonitor.lnk = C:\Archivos de programa\Expedience LinkMonitor\LinkMonitor.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: VAIO Action Setup (Server).lnk = C:\Archivos de programa\Sony\VAIO Action Setup\VAServ.exe

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Archivos de programa\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Archivos de programa\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.sony-latin.com/registration/vaio

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108664089890

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} - http://www.180searchassistant.com/180saax.cab

O16 - DPF: {9CCE3B43-4DE0-4236-A84E-108CA848EE6A} (WebCam Control) - http://webcamnow.com/broadcast/ActiveXWebCam.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {BB95299D-B65B-47E0-8DDB-697A66298C3A} (UniVoiceX Control) - http://webcamnow.com/voice/voice.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3FAF4061-A32F-4FE6-9EC3-B2DD13337AB5}: NameServer = 207.248.224.71,207.248.224.72

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe

O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\ARCHIV~1\ARCHIV~1\SONYSH~1\AVLib\Sptisrv.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



de antemano muchas gracias :D

[msc hotline sat]

Efectivamente tiene virus y troyanos, pero no es eliminando claves de log del HJT la manera correcta de eliminarlos, pues hay muchas mas claves aparte de las que muestra el HJT, y su eliminacion debe hacerse con utilidades de eliminacion especificas, o antivirus o antispywares que los controlen.



Esta claro que el NTDLL.EXE es un backdoor:



http://securityresponse.symantec.com/avcenter/venc/data/backdoor.bionet.404.html



que debiera ser eliminado por el antivirus arrancndo en modo seguro y deshabilitando la restauracion de sistema.



Igualmente el SPOOLSV32.EXE:



http://www.trendmicro.com/vinfo/virusencyclo/default2.asp?m=q&virus=spoolsv32%2Eexe&alt=spoolsv32%2Eexe&Sect=SA



Igualmente con el DLLHOST32.EXE:



http://www.trendmicro.com/vinfo/virusencyclo/default2.asp?m=q&virus=dllhost32%2Eexe&alt=dllhost32%2Eexe&Sect=SA





Y el ELITERYC32.EXE es una variante del ELITEBAR denominada POKAPOKA 65, que en el foro de "Geeks to go" indican lo siguiente para eliminarlo:


[quote="GEEKSTOGOFORUM"]Download LQfix Here

save it to your desktop, please do not use yet





THE FIX



Please read this post completely, it may make it easier for you if you copy and paste this post to a new text document or print it for reference later.



1. Click this link to be sure you can view hidden files.



2. Ensure you are NOT connected to the internet.



3. Reboot into safe mode.



Restart your computer and as soon as it starts booting up again continuously tap F8. A menu should come up where you will be given the option to enter Safe Mode.



4. Go to Start->Run and type in services.msc and hit OK. Then look for Windows Update (WindowsUpdate) and double click on it. Click on the Stop button and under Startup type, choose Disabled.



5. Close all browsers, windows and unneeded programs.



6. Open HiJack and do a scan.



7. Put a Check next to the following items:



O4 - HKLM\..\Run: [cvqev] cvcavc.exe

O4 - HKLM\..\Run: [System service65] C:\WINNT\etb\pokapoka65.exe

O4 - HKLM\..\Run: [lsass] C:\winnt\system32\eliteryc32.exe

O23 - Service: Windows Update (WindowsUpdate) - Unknown owner - C:\WINNT\system32\usrinit.exe (file missing)



8. click the Fix Checked box



9. Please remove just the files from the following paths using Windows Explorer (if present):



C:\WINNT\system32\usrinit.exe

Start>Search to find this one:

Windows XP's search feature is a little different. When you click on 'All files and folders' on the left pane, click on the 'More advanced options' at the bottom. Make sure that Search system folders, Search hidden files and folders, and Search subfolders are checked.

cvcavc.exe



10. Double click on LQFix program u downloaded.

A doswindow will open and close again, this is normal.



11. Run the program CleanUp!



12. Delete Bad Service:

Open HiJackThis

Click on the configure button on the bottom right

Click on the tab "Misc Tools"

click on "delete an NT service"

Copy and paste this in the box: WindowsUpdate

Click "ok", then reboot



13. Reboot into normal mode and please run this online virus scan: ActiveScan - Save the results from the scan!



14. Please post the Active scan log and a fresh HiJackThis log. Let me know how your computer is running.

--------------------
[/quote]



Si su antivirus no se los elimina en la forma indicada, informenos y le pediremos una muestras para analizarlas y obrar en consecuencia. Solo en este caso de envio de muestras, puede eliminar las claves, a la espera de la utilidad que limpie el resto del registro al respecto



Estas 4 claves son las que cargan los indicados procesos:



O4 - HKLM\..\Run: [Windows Installer] C:\WINDOWS\system32\ntdll.exe

O4 - HKLM\..\Run: [Windows Spooler] C:\WINDOWS\system32\spoolsv32.exe

O4 - HKLM\..\Run: [Windows DLL Host] C:\WINDOWS\system32\dllhost32.exe

O4 - HKLM\..\Run: [lsass] C:\windows\system32\eliteryc32.exe



Eliminelas en el caso indicado arrancando en modo segurom y lanzando el HJT, seleccionandolas y FIX



saludos



ms, 7-09-2005

[msc hotline sat]

Como sea que es un poco laboriosa la desinfección de este último y los otros tres si no has podido quizas son variantes del conocido, envianos los cuatro ficheros a zonavirus@satinfo.es anexados a un mail en cuyo texto figure la referencia REF ALEBRI" y los analizaremos y desarrollaremos utilidades de desinfeccion para ellos, o los incluiremos en alguna existente, de lo que te informaremos como respuesta de este Tema



Los ficheros que has de enviar son:





C:\WINDOWS\system32\ntdll.exe

C:\WINDOWS\system32\spoolsv32.exe

C:\WINDOWS\system32\dllhost32.exe

C:\windows\system32\eliteryc32.exe



saludos



ms, 7-09-2005

[alebrijemx]

Hola, ya les mande los ficheros, fui paso a paso sus intrucciones y no elimino nada el antivirus , solo los detecta y los pone en cuarentena y volvian a salir, ni el online ni mi mcafee enterprise,

borre las 4 claves que me indicaron y tambien el archivo etb que estaba en c/w/sistema32, y al parecer ya se soluciono el problema por el momento.

espero intrucciones a seguir para la eliminacion total de los bichos









Gracias :lol:

[msc hotline sat]

En XP siempre que quieras eliminar virus o spywares, empieza arrancando en modo seguro y deshabilitando la restauracion de sistema, pues si están en uso, windows no los deja eliminar.



De todas formas analizaremos los ficheros que nos envias y te informaremos



saludos



ms, 8-09-2005

[alebrijemx]

Muchas Gracias por la ayuda :lol:

[msc hotline sat]

Analizado el fichero enviado, resulta ser una nueva variante del Elite Bar, que pasamos a controlar con la nueva version 10.25 de esta utilidad:



https://foros.zonavirus.com/viewtopic.php?t=8396



Pruebela para terminar de eliminar los restos.



Con esto damos por terminado este Tema y procedemos a cerrarlo



saludos



ms, 9-09-2005