Dialer o Trojan, o ya no se qué es. (SOLUCIONADO)

Leiro1 · Mensaje por **Leiro1** » 03 May 2006, 13:12

Les comentó, en mi inocencia instalé el activeX de una página que ni recuerdo cuál es. Ya se, no hace falta que me lo digan. :oops:

Bueno, el asunto es que desde entonces no paran de aparecerme mensajes del NOD32 en referencia a un dialer que se quiere conectar a la web impotato.com, y despues me manda cerrar o ie o Firefox, sin importar cuál este utilizando o si está abierto. Le he pasado pest block, spydoctor, sin espias, spyandboot, regseeker, diskclean y todo antivirus, spyware y herramientas para la limpieza del registro que encontrado, pero nada. Tengo la cuarentena del nod que va a reventar, y cada diez minutos tengo que cerrar el navegador que esté usando.

Antes me daba un trojan y un dialer, ahora ya sólo me aparece dialer.

Puede ser un archivo de un tamaño de 30254 o 28802, el nombre que el nod le da al virus es win32/Agent.Z Aplication y se crea un archivo en archivos temporales de internet y otro en los temporales de windows.

Agradeciéndo su atención y ayuda le posteo aqui mi log.

Logfile of HijackThis v1.99.1

Scan saved at 13:11:12, on 03/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\passrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\psimsvc.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\AntiTroyanos\antitroy.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Archivos de programa\Spyware Doctor\sdhelp.exe

C:\Documents and Settings\usuario\Escritorio\emule\emule.exe

C:\Archivos de programa\SpyBro\SpyBro.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\usuario\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARCHIV~1\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [PPTray] C:\Archivos de programa\ROXTV\ROXTV.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: InFoAL AntiTroyanos.LNK = C:\Archivos de programa\AntiTroyanos\antitroy.exe

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {1E5592CB-8F5B-46F8-9EA6-65C01213808A} (InstaladorBetyByte Control) - http://www.cocacola.es/uploads/cab/instaladorbetybyte.cab

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540004} - http://freepcscan.com/spyware/Install.cab

O16 - DPF: {4620BC29-8B8E-4F4E-9D92-1DB6633D6793} (SurferNETWORK Plugin) - http://rd1.surfernetwork.com/surferplugin.ocx

O16 - DPF: {53AF6E02-F18F-4228-AC13-3E79773FBE50} (CMCBooter Object) - http://download.mysee.com/plugin/booter.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - http://www.crtvg.es/camweb/camera.cab

O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{AB68DBE5-176D-4632-9682-B1E145AF759A}: NameServer = 80.58.61.250 80.58.61.254

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Panda Antispam Service (PASSRV) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\passrv.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Panda Imanager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\psimsvc.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Archivos de programa\Spyware Doctor\sdhelp.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

:(

Mensaje por **msc hotline sat** » 03 May 2006, 13:26

Arranca en modo seguro, y lanza el ELISTARA:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras reiniciar normal, lanza este ONLINE y nos comentas el resultado, gracias:

[url=https://www.eset.es/analisis-online/]~~[b]~~[color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]

saludos

ms, 3-5-2006

Mensaje por **msc hotline sat** » 03 May 2006, 13:34

T rienes rfestos de Panda y de NOD. Desinstalalos y deja un solo antivirus !:

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Panda Imanager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\psimsvc.exe

y si tras lo indicado, persiste esta clave, arranca en modo seguro, marcala y eliminala con FIX:

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540004} - http://freepcscan.com/spyware/Install.cab

saludos

ms, 3-5-2006

Leiro1 · Mensaje por **Leiro1** » 03 May 2006, 15:38

Gracias, despues de hacer los pasos que me dijiste parece que el problema se soluciono. No eliminé la entrada de NOD porque es el antivirus que estoy utilizando en la actualidad. En su lugar elimine la de Symantec, pues el Norton no me dejaba abrir el Oficce ¿?

Ahora lo que me ocurre es que cuando reinicio se me abre la ventana del windows installer y me quiere instalar un Fax y un programa llamado TrayApp. No lo puedo cancelar y la única manera de que desaparezca es con el administrador de tareas. Yo no tengo Fax, ni lo quise instalar nunca ni se de donde sale. No puede acabar la instalación porque les falta archivos, me pide el disco.

Si me podeis ayudar también es esto os lo agradecería, sino, daros las gracias porque el dialer parece que ya no está.

Mensaje por **maura63** » 03 May 2006, 15:53

Elimina este programa

C:\Archivos de programa\SpyBro\SpyBro.exe

Mejor utilizar ad_aware o spybot.

Saludos

maura63

Mensaje por **msc hotline sat** » 03 May 2006, 17:35

Ademas del SpyBro tiene otras claves de lanzamiento de antitroyanos:

O4 - Global Startup: InFoAL AntiTroyanos.LNK = C:\Archivos de programa\AntiTroyanos\antitroy.exe

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540004} - http://freepcscan.com/spyware/Install.cab

No sé si puede ser que colisionen entre sí...

Pruebe de desinstalarlos, a ver si se soluciona el problema, por dolicionar entre si, y luego instale uno solo, el que prefiera, nosotros aconsejamos el Spybot o el Ad_aware...

y nos informa, gracias

saludos

ms, 3-5-2006

Leiro1 · Mensaje por **Leiro1** » 03 May 2006, 18:27

Bien, he de darles las gracias pues mi ordenador va perfecto.

En estos momentos tengo instalados no solo esos que decis, sino tambien pestblock, xoftspy, ad-aware y alguno más seguro, como les digo di muchas vueltas para solucionar el problema del impotato este de mi... Ahora vere con cual que me quedo.

GRACIAS y salu2

Mensaje por **maura63** » 03 May 2006, 18:35

xoftspY :?: :?:

NI REGALADO. ESTA EN LA LISTA NEGRA

Saludos

maura63

Mensaje por **msc hotline sat** » 03 May 2006, 18:45

Aqui tienes la ultima relacion de antispywares no confiables:

http://www.vsantivirus.com/lista-nospyware.htm

Tu mismo ...

y nos alegramos de que se hayan solucionado los problemas, u en consecuencia procedemos a cerrar el Tema

saludos

ms, 3-5-2006