imposible dialer

latiaisa · Mensaje por **latiaisa** » 12 Sep 2006, 15:41

muy buenas

de antemano gracias por atenderme

tengo un dialer italiano imposible de quitar

he pasado un monton de antivirus pero ninguno lo quita lo unico que me detectan es:

trojan agent winlogonhook y hotbar

que tampoco se como se quitan

por favor me podeis ayudar, os mando el log y el resultado de pasar el ewido pero os agredeceria que me explicarais paso a paso lo que tengo que hacer que soy un poco torpe con los ordenadores

muchisimas gracias

Logfile of HijackThis v1.99.1

Scan saved at 15:41:37, on 12/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SSU.EXE

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\TEMP\win87C.tmp.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Isa\CONFIG~1\Temp\Rar$EX03.447\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://E:\content\include\XPPatchInstaller.CAB

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130188763582

O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://E:\Content\include\msSecUcd.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6F39F1F2-A0FB-438F-9EEA-FC8EC84C7975}: NameServer = 62.36.225.150,62.37.228.20

O17 - HKLM\System\CCS\Services\Tcpip\..\{E1687B04-EE69-45BA-999F-7FB576B10B6F}: NameServer = 195.235.113.3,195.235.96.90

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Servicio de host de pcAnywhere (awhost32) - Symantec Corporation - C:\Archivos de programa\Symantec\pcAnywhere\awhost32.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

ewido

__________________________________________________

ewido anti-spyware online scanner

http://www.ewido.net

__________________________________________________

Name: TrackingCookie.Reliablestats

Path: C:\Documents and Settings\Isa\Cookies\isa@stats1.reliablestats[2].txt

Risk: Medium

Name: Adware.HotBar

Path: HKLM\SOFTWARE\HbTools

Risk: Medium

Name: Adware.HotBar

Path: HKLM\SOFTWARE\HbTools\HbTools

Risk: Medium

Name: Adware.HotBar

Path: HKLM\SOFTWARE\HbTools\HbTools\Install

Risk: Medium

Name: Adware.HotBar

Path: HKLM\SOFTWARE\HbTools\Install

Risk: Medium

Name: Adware.HotBar

Path: HKLM\SOFTWARE\HbTools\Install\CmpMap

Risk: Medium

Name: Adware.HotBar

Path: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HbToolsWebTools

Risk: Medium

Name: Adware.HotBar

Path: HKLM\SOFTWARE\ShopperReports

Risk: Medium

Name: Adware.HotBar

Path: HKLM\SOFTWARE\ShopperReports\ShopperReports

Risk: Medium

Name: Adware.HotBar

Path: HKLM\SOFTWARE\ShopperReports\ShopperReports\PostInstaller

Risk: Medium

Name: Adware.HotBar

Path: HKU\S-1-5-21-527237240-492894223-1060284298-1003\Software\HbTools

Risk: Medium

Name: Adware.HotBar

Path: HKU\S-1-5-21-527237240-492894223-1060284298-1003\Software\HbTools\HbTools

Risk: Medium

Name: Adware.HotBar

Path: HKU\S-1-5-21-527237240-492894223-1060284298-1003\Software\HbTools\HbTools\mail

Risk: Medium

Name: Adware.HotBar

Path: HKU\S-1-5-21-527237240-492894223-1060284298-1003\Software\ShopperReports

Risk: Medium

Name: Adware.HotBar

Path: HKU\S-1-5-21-527237240-492894223-1060284298-1003\Software\ShopperReports\ShopperReports

Risk: Medium

Name: Adware.HotBar

Path: HKU\S-1-5-21-527237240-492894223-1060284298-1003\Software\ShopperReports\ShopperReports\PostInstaller

Risk: Medium

Name: Not-A-Virus.Downloader.Win32.WinFixer.o

Path: C:\Archivos de programa\ESET\cache\FND2.NFI

Risk: Low

Name: Adware.HotBar

Path: C:\Archivos de programa\ShopperReports

Risk: Medium

Name: Dialer.IDialer.m

Path: C:\Documents and Settings\Isa\Configuración local\Archivos temporales de Internet\Content.IE5\8LQJ0HYR\srvbzh[1].exe

Risk: High

Name: Dialer.IDialer.m

Path: C:\Documents and Settings\Isa\Configuración local\Archivos temporales de Internet\Content.IE5\8LQJ0HYR\srvqfu[1].exe

Risk: High

Name: Dialer.IDialer.m

Path: C:\Documents and Settings\Isa\Configuración local\Archivos temporales de Internet\Content.IE5\8LQJ8DUB\srvrbw[1].exe

Risk: High

Name: Not-A-Virus.Downloader.Win32.WinFixer.o

Path: C:\Documents and Settings\Isa\Configuración local\Archivos temporales de Internet\Content.IE5\MNGXM5CV\WinAntiVirusPro2006FreeInstall_es[1].cab/UWA6PY_0001_N91M2107NetInstaller.exe

Risk: Low

Name: TrackingCookie.Yieldmanager

Path: C:\Documents and Settings\Isa\Cookies\isa@ad.yieldmanager[1].txt

Risk: Medium

Name: TrackingCookie.Clickbank

Path: C:\Documents and Settings\Isa\Cookies\isa@clickbank[1].txt

Risk: Medium

Name: TrackingCookie.Cpvfeed

Path: C:\Documents and Settings\Isa\Cookies\isa@cpvfeed[2].txt

Risk: Medium

Name: TrackingCookie.Statcounter

Path: C:\Documents and Settings\Isa\Cookies\isa@statcounter[1].txt

Risk: Medium

Name: Dialer.Agent.z

Path: C:\WINDOWS\Temp\idd1322.tmp.exe

Risk: High

Name: Dialer.Agent.z

Path: C:\WINDOWS\Temp\idd15AE.tmp.exe

Risk: High

Name: Dialer.Agent.z

Path: C:\WINDOWS\Temp\idd1731.tmp.exe

Risk: High

Name: Dialer.Agent.z

Path: C:\WINDOWS\Temp\idd1996.tmp.exe

Risk: High

Name: Dialer.Agent.z

Path: C:\WINDOWS\Temp\iddFF5.tmp.exe

Risk: High

Name: Dialer.IDialer.m

Path: C:\WINDOWS\Temp\win131C.tmp.exe

Risk: High

Name: Dialer.IDialer.m

Path: C:\WINDOWS\Temp\win15AA.tmp.exe

Risk: High

Name: Dialer.IDialer.m

Path: C:\WINDOWS\Temp\winB1E.tmp.exe

Risk: High

Name: Dialer.IDialer.m

Path: C:\WINDOWS\Temp\winFE4.tmp.exe

Risk: High

:D

Mensaje por **flacoroo** » 12 Sep 2006, 17:53

pues bajate este programitas de esta web en descargas elitriip y elistara y ambien el complemento del el...y reinicias tu compu en modo seguro y corres ambos rpogramas....si los tienes aun asi bajalo por que se actualizan diariamente....

nos dices como te fue......

Mensaje por **msc hotline sat** » 12 Sep 2006, 17:55

Prueba el ELISTARA

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

nsm 12-9-2006

latiaisa · Mensaje por **latiaisa** » 12 Sep 2006, 22:48

creo que es esto lo que tengo que mandar si no ya me direis que es

muchas gracias

Tue Sep 12 21:33:28 2006

EliStartPage v12.32 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\DDCCD]

Por favor, envienos una muestra del fichero

C:\WinLogon\DDCCD.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINNMJ32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINNMJ32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\DDCCD.DLL.Muestra EliStartPage v12.32

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDCCD.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\DCCDD.ini --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\DCCDD.ini2 --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\DCCDD.tmp --> Eliminado (Fichero Complementario).

Eliminada Class, "{2BF2F65F-97B1-45DD-B74B-C6205B6F8056}" -> C:\WINDOWS\system32\ddccd.dll

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Sep 12 22:08:13 2006

EliStartPage v12.32 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\plug_ins\ImageViewer\Lib\SVGBIB.DLL --> Eliminado, NetNucleus (BHO)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Tue Sep 12 22:38:10 2006

EliStartPage v12.32 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\DDCCD]

Por favor, envienos una muestra del fichero

C:\WinLogon\DDCCD.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINNMJ32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINNMJ32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\DDCCD.DLL.Muestra EliStartPage v12.32

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDCCD.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\DCCDD.ini2 --> Eliminado (Fichero Complementario).

Eliminada Class, "{2BF2F65F-97B1-45DD-B74B-C6205B6F8056}" -> C:\WINDOWS\system32\ddccd.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Instalada Utilidad "ELINOTIF.DLL"

Mensaje por **maura63** » 12 Sep 2006, 23:04

Todo lo que ELISTARA pida enviar muestras, por ejemplo

C:\WinLogon\[color=red]DDCCD.DLL [/color]

envialas a la direccion e:mail indicada.

Una vez analizadas,contestaran sobre este mismo post como respuesta y te indicaremos que hacer al respecto.

Saludos

maura63

Mensaje por **msc hotline sat** » 13 Sep 2006, 12:36

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.

saludos

ms, 13-9-2006

Mensaje por **maura63** » 14 Sep 2006, 20:57

Y esta

C:\WINDOWS\TEMP\win87C.tmp.exe

Saludos

maura63

Mensaje por **msc hotline sat** » 14 Sep 2006, 21:30

Sí, claro. Todas las que piden en el infosat:

[quote]
Por favor, envienos una muestra del fichero

C:\WinLogon\DDCCD.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\WinLogon\WINNMJ32.DLL

a "virus@satinfo.es". Gracias.

[/quote]

y esta que indica Maura63:

C:\WINDOWS\TEMP\win87C.tmp.exe

que promete... :lol:

saludos

ms,. 14-9-2006