un dialer?

[enriqueutrero]

Hola:



Mi problema es es siguiente. Tengo un router conectado a traves de Winpoet, pero cuando llego una hora conectado, se cae la conexion y me aparece que esta conectado a otra conexion que se llama 2022.

En los procesos me aparece un archivo que es sospechoso WINA2.tmp.exe.

Me podeis ayudar?



Os dejo mi log



Logfile of HijackThis v1.99.1

Scan saved at 12:51:44, on 30/10/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

I:\WINDOWS\System32\smss.exe

I:\WINDOWS\system32\csrss.exe

I:\WINDOWS\SYSTEM32\winlogon.exe

I:\WINDOWS\system32\services.exe

I:\WINDOWS\system32\lsass.exe

I:\WINDOWS\system32\svchost.exe

I:\WINDOWS\System32\svchost.exe

I:\WINDOWS\System32\svchost.exe

I:\WINDOWS\System32\svchost.exe

I:\WINDOWS\system32\spoolsv.exe

I:\WINDOWS\system32\ntfsloc.exe

I:\WINDOWS\System32\svchost.exe

I:\WINDOWS\system32\ZoneLabs\vsmon.exe

I:\Archivos de programa\WinPoET\WrOS.EXE

I:\WINDOWS\Explorer.EXE

I:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

I:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

I:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

I:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

I:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

I:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

I:\WINDOWS\SOUNDMAN.EXE

I:\Archivos de programa\a-squared Anti-Dialer\a2adguard.exe

I:\Archivos de programa\WinPoET\winpppoverethernet.exe

I:\WINDOWS\System32\ctfmon.exe

I:\Archivos de programa\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

I:\Archivos de programa\Eyeball\Eyeball Chat\EyeballChat.exe

I:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE

I:\Archivos de programa\TechSmith\SnagIt 8\SnagIt32.exe

I:\Archivos de programa\TechSmith\SnagIt 8\TSCHelp.exe

I:\Archivos de programa\MSN Messenger\msnmsgr.exe

I:\Archivos de programa\eMule\emule.exe

I:\Archivos de programa\Opera\Opera.exe

I:\Documents and Settings\e\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://es.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://es.search.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - I:\Archivos de programa\DeluxeCommunications\DxcBho.dll

O3 - Toolbar: Camfrog Toolbar - {AF2A1C5A-1AED-4E92-8BA8-D708EB79537E} - I:\Archivos de programa\Camfrog\CamfrogBar\CamfrogBar.dll

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - I:\Archivos de programa\TechSmith\SnagIt 8\SnagItIEAddin.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - I:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll

O3 - Toolbar: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)

O4 - HKLM\..\Run: [Zone Labs Client] I:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE I:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SunJavaUpdateSched] I:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [HP Software Update] I:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] I:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [DeviceDiscovery] I:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "I:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] I:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "I:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE I:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [DeluxeCommunications] I:\Archivos de programa\DeluxeCommunications\Dxc.exe

O4 - HKLM\..\Run: [a-squared Anti-Dialer] "I:\Archivos de programa\a-squared Anti-Dialer\a2adguard.exe"

O4 - HKLM\..\Run: [a-winpoet-service] "I:\Archivos de programa\WinPoET\winpppoverethernet.exe"

O4 - HKLM\..\Run: [z-WrDialer] I:\Archivos de programa\WinPoET\WrDialer.exe

O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Camfrog] "I:\Archivos de programa\Camfrog\Camfrog Video Chat 3.72\CamfrogNet.exe" 1 I:\Archivos de programa\Camfrog\Camfrog Video Chat 3.72\Camfrog Video Chat.exe

O4 - HKCU\..\Run: [swg] I:\Archivos de programa\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Eyeball Chat] "I:\Archivos de programa\Eyeball\Eyeball Chat\EyeballChat.exe" -min

O4 - HKCU\..\Run: [Yahoo! Pager] "I:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

O4 - HKCU\..\Run: [ccleaner] "I:\Archivos de programa\CCleaner\ccleaner.exe" /AUTO

O4 - HKCU\..\Run: [DeluxeCommunications] I:\Archivos de programa\DeluxeCommunications\Dxc.exe

O4 - HKCU\..\RunServices: [Ms System Config] Mscfg.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = I:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = I:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: SnagIt 8.lnk = I:\Archivos de programa\TechSmith\SnagIt 8\SnagIt32.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - I:\ARCHIV~1\Yahoo!\Common\yhexbmeses.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - I:\ARCHIV~1\Yahoo!\Common\yhexbmeses.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - I:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158515333123

O17 - HKLM\System\CCS\Services\Tcpip\..\{C9407BE7-5697-4C23-B577-DDA77351C59E}: NameServer = 80.58.61.250 80.58.61.254

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "I:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: dxclib303562752.dll

O20 - Winlogon Notify: avldr - I:\WINDOWS\SYSTEM32\avldr.dll

O20 - Winlogon Notify: winrge32 - I:\WINDOWS\SYSTEM32\winrge32.dll

O23 - Service: hpdj - Unknown owner - I:\DOCUME~1\e\CONFIG~1\Temp\hpdj.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - I:\WINDOWS\System32\nvsvc32.exe (file missing)

O23 - Service: Panda anti-virus service (PAVSRV) - Unknown owner - I:\Archivos de programa\Panda Software\Panda Antivirus 2007\pavsrv51.exe (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - I:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - I:\Archivos de programa\WinPoET\WrOS.EXE

[msc hotline sat]

enviar muestras:



I:\WINDOWS\system32\ntfsloc.exe



I:\Archivos de programa\DeluxeCommunications\DxcBho.dll



I:\WINDOWS\SYSTEM32\winrge32.dll







eliminar:



O4 - HKLM\..\Run: [z-WrDialer] I:\Archivos de programa\WinPoET\WrDialer.exe



O4 - HKCU\..\RunServices: [Ms System Config] Mscfg.exe



O20 - AppInit_DLLs: dxclib303562752.dll





saludos



ms, 31-10-2006



recordar:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[enriqueutrero]

He pasado superatispyware y realice lo oque me indicasteis.



Mi log queda de la siguiente forma

Logfile of HijackThis v1.99.1

Scan saved at 13:40:45, on 30/10/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Logfile of HijackThis v1.99.1

Scan saved at 13:42:10, on 30/10/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

I:\WINDOWS\System32\smss.exe

I:\WINDOWS\system32\csrss.exe

I:\WINDOWS\SYSTEM32\winlogon.exe

I:\WINDOWS\system32\services.exe

I:\WINDOWS\system32\lsass.exe

I:\WINDOWS\system32\svchost.exe

I:\WINDOWS\System32\svchost.exe

I:\WINDOWS\System32\svchost.exe

I:\WINDOWS\System32\svchost.exe

I:\WINDOWS\system32\spoolsv.exe

I:\WINDOWS\system32\ntfsloc.exe

I:\WINDOWS\System32\svchost.exe

I:\WINDOWS\system32\ZoneLabs\vsmon.exe

I:\Archivos de programa\WinPoET\WrOS.EXE

I:\WINDOWS\Explorer.EXE

I:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

I:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

I:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

I:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

I:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

I:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

I:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

I:\WINDOWS\SOUNDMAN.EXE

I:\Archivos de programa\a-squared Anti-Dialer\a2adguard.exe

I:\Archivos de programa\WinPoET\winpppoverethernet.exe

I:\WINDOWS\System32\ctfmon.exe

I:\Archivos de programa\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

I:\Archivos de programa\Eyeball\Eyeball Chat\EyeballChat.exe

I:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE

I:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

I:\WINDOWS\System32\rundll32.exe

I:\Archivos de programa\TechSmith\SnagIt 8\SnagIt32.exe

I:\Archivos de programa\Camfrog\Camfrog Video Chat 3.72\Camfrog Video Chat.exe

I:\Archivos de programa\TechSmith\SnagIt 8\TSCHelp.exe

I:\Archivos de programa\eMule\emule.exe

I:\Archivos de programa\Opera\Opera.exe

I:\Documents and Settings\e\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://es.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://es.search.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O3 - Toolbar: Camfrog Toolbar - {AF2A1C5A-1AED-4E92-8BA8-D708EB79537E} - I:\Archivos de programa\Camfrog\CamfrogBar\CamfrogBar.dll

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - I:\Archivos de programa\TechSmith\SnagIt 8\SnagItIEAddin.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - I:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll

O3 - Toolbar: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)

O4 - HKLM\..\Run: [Zone Labs Client] I:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE I:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SunJavaUpdateSched] I:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [HP Software Update] I:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] I:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [DeviceDiscovery] I:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "I:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] I:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "I:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE I:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [a-winpoet-service] "I:\Archivos de programa\WinPoET\winpppoverethernet.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Camfrog] "I:\Archivos de programa\Camfrog\Camfrog Video Chat 3.72\CamfrogNet.exe" 1 I:\Archivos de programa\Camfrog\Camfrog Video Chat 3.72\Camfrog Video Chat.exe

O4 - HKCU\..\Run: [swg] I:\Archivos de programa\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Eyeball Chat] "I:\Archivos de programa\Eyeball\Eyeball Chat\EyeballChat.exe" -min

O4 - HKCU\..\Run: [Yahoo! Pager] "I:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

O4 - HKCU\..\Run: [ccleaner] "I:\Archivos de programa\CCleaner\ccleaner.exe" /AUTO

O4 - HKCU\..\Run: [SUPERAntiSpyware] I:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = I:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = I:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: SnagIt 8.lnk = I:\Archivos de programa\TechSmith\SnagIt 8\SnagIt32.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - I:\ARCHIV~1\Yahoo!\Common\yhexbmeses.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - I:\ARCHIV~1\Yahoo!\Common\yhexbmeses.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - I:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158515333123

O17 - HKLM\System\CCS\Services\Tcpip\..\{C9407BE7-5697-4C23-B577-DDA77351C59E}: NameServer = 80.58.61.250 80.58.61.254

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "I:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: !SASWinLogon - I:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: avldr - I:\WINDOWS\SYSTEM32\avldr.dll

O20 - Winlogon Notify: winrge32 - winrge32.dll (file missing)

O23 - Service: hpdj - Unknown owner - I:\DOCUME~1\e\CONFIG~1\Temp\hpdj.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - I:\WINDOWS\System32\nvsvc32.exe (file missing)

O23 - Service: Panda anti-virus service (PAVSRV) - Unknown owner - I:\Archivos de programa\Panda Software\Panda Antivirus 2007\pavsrv51.exe (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - I:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - I:\Archivos de programa\WinPoET\WrOS.EXE

[msc hotline sat]

Cuando recibamos las muestras solicitadas volveremos al Tema. Otras herramientas que no indicabamos usar, pueden haber intervenido desfavorablemente, ya que no sabemos lo que pueden haber hecho. Limitese a seguir las indicaciones y entre lo indicado y las utilidades que hagamos al respecto de las muestras, solucionaremos el problema.



saludos



ms, 31-10-2006



NOTA: ME OLVIDABA DECIR QUE DENE ACTUALIZAR LOS PARCHES DE MICRIOSOFT, LE FALTAN TODOS LOS PARCHES DEL SP2 Y POSTERIORES. LANCE UN WINDOWSUPDATE !!!