MALDITO DIALER ITALIANO (SOLUCIONADO)

dundi19 · Mensaje por **dundi19** » 24 Mar 2007, 12:12

No postearía si no hubiese intentado de todo para eliminar el dichoso dialer italiano, pero es que no hay forma. Ya me he leido el equivalente a un libro en foros, he seguido todas las instrucciones que proponen y nada de nada. El mejor estado que he conseguido es con el AVG ANTI-SPYWARE 7.5 que consigue bloquear la ejecución de los famosos archivos udial.exe, los iddX.tmp.exe y los winx.tmp.exe. Con este programa he conseguido que no se modifique el registro, pero esos programas siguen intentando ejecutarse. Os dejo el LOG de HijackThis. Espero que alguien pueda echarme una mano porque empiezo a estar desesperado. Gracias por adelantado.

Logfile of HijackThis v1.99.1

Scan saved at 11:17:46, on 24/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Antivirus Systems\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Common Files\McAfee\HackerWatch\HWAPI.exe

C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe

c:\program files\common files\mcafee\mna\mcnasvc.exe

C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe

C:\PROGRA~1\McAfee\MSC\mcpromgr.exe

c:\PROGRA~1\COMMON~1\mcafee\redirsvc\redirsvc.exe

C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe

C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\TrayIcon.exe

C:\PROGRA~1\mcafee.com\agent\mcagent.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Antivirus Systems\AVG Anti-Spyware 7.5\avgas.exe

C:\PROGRA~1\COMMON~1\McAfee\EmProxy\emproxy.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Antivirus Systems\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O4 - HKLM\..\Run: [DisplayTrayIcon] C:\WINDOWS\system32\TrayIcon.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Antivirus Systems\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Antivirus Systems\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\PROGRA~1\COMMON~1\McAfee\EmProxy\emproxy.exe

O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Program Files\Common Files\McAfee\HackerWatch\HWAPI.exe

O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe

O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe

O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\program files\common files\mcafee\mna\mcnasvc.exe

O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe

O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe

O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\redirsvc\redirsvc.exe

O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe

O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

novatillo · Mensaje por **novatillo** » 24 Mar 2007, 12:25

Prueba con elistara y tras reiniciar postea el contenido de C:/infosat.txt

ELISTARA

http://www.zonavirus.com/descargas/elistara.asp

Saludos.

Mensaje por **msc hotline sat** » 24 Mar 2007, 13:53

Y si tras ello aun persistierfa esta clave, eliminela:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm

recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 24-03-2007

dundi19 · Mensaje por **dundi19** » 24 Mar 2007, 20:17

Hola otra vez:

Gracias a los 2 (msc hotline sat & novatillo) por contestar tan rápido. Posteo el mensaje de Elistar:

Sat Mar 24 13:11:16 2007

EliStartPage v13.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\AWVTQ]

Por favor, envienos una muestra del fichero

C:\WinLogon\AWVTQ.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINJYP32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINJYP32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\AWVTQ.DLL.Muestra EliStartPage v13.60

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AWVTQ.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\QTVWA.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{B829AAB9-D6B0-49FD-ACB3-9431765A11EB}" -> C:\WINDOWS\system32\awvtq.dll

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

De los ficheros que menciona los he borrado todos. La linea RO también. [i]De momento[/i] parece q no hay problemas: ni accesos al registo, ni páginas de repente ni temporales. Voy a darle un buen trote al PC con navegación a ver q pasa. Mañana posteo como ha ido...

Mensaje por **msc hotline sat** » 24 Mar 2007, 20:25

Se te pide que nos envies las muestras, no que las elimines !

Por favor, envienos una muestra del fichero

C:\WinLogon\AWVTQ.DLL

Por favor, envienos una muestra del fichero

C:\WinLogon\WINJYP32.DLL

Por favor, envienos una muestra del fichero

C:\Muestras\AWVTQ.DLL.Muestra EliStartPage v13.60

recuerda: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

De lo contrario no te podremos seguir ayudando !!!

saludos

ms, 24-03-2007

dundi19 · Mensaje por **dundi19** » 24 Mar 2007, 21:29

Lo siento, no lo sabía...el programa me daba otra dirección y allí se las mandé.

Ya os he mandado un correo con los 3 ficheros...

Mensaje por **msc hotline sat** » 24 Mar 2007, 21:38

Mientras no las haya eliminado... Pero sí, enviandolas como indicamos se les da preferencia, pues a la otra direccion, sin estar asociado a SATINFO y dar numero de licencia, van a la cola...

El lunes cuando entremos a trabajar, se analizarán las recibidas durante el fin de semana, empezando por los asociados a SATINFO, siguiendo las enviadas conforme indicado para este foro, y finalmente el resto de muestras recibidas, pues si bien todas se analizan y procesan, se ha de hacer dentro de un orden.

saludos

ms, 24-03-2007

dundi19 · Mensaje por **dundi19** » 25 Mar 2007, 22:35

Hola a todos otroa vez:

Después de 1 día de pruebas parece q el dialer ha desaparecido. Muchísimas gracias por la ayuda que ha sido decisiva. Como resumen, para los que tengan el problema en el futuro, os comento las herramientas que he utilizado (las útiles de verdad):

~~[b]~~HijackThis[/b] --> Para eliminar a gusto entradas en el registro

~~[b]~~RegSeeker[/b] --> Para limpiar el registro de entradas obsoletas

~~[b]~~Disk Cleaner[/b] --> Para limpiar disco duro de temporales y demases

~~[b]~~KillBox[/b] --> Para borrar ficheros que no se dejan de forma habitual

~~[b]~~AVG ANTI-SPYWARE 7.5[/b] --> Bloquear modificaciones en el registro por el dialer y detectar/borrar los ficheros maliciosos (no todos)

~~[b]~~McAfee Viruscan[/b] --> Detecta los ficheros creados por el dialer pero no el origen

~~[b]~~Firewall de Windows[/b] --> Activado, aunque no se si sirve para algo

~~[b]~~ELISTARA[/b] --> Junto con EliNotif.dll. Este es el programa que al final lo ha conseguido.

Como nota adicional, comentaros que programas como HunterDialer, NoAdware, Ewido Online, Panda Online, SpyBoot me han servido de poco o de nada.

Lo dicho, un placer por el trato y la respuesta recibida...no lo tomeis como algo personal, pero espero no tener q recurrir a vosotros otra vez :lol:

Mensaje por **lucl** » 25 Mar 2007, 23:09

pero que dices hombre, si somos gente muy maja :D

venga a ver si no vuele a salirte , y si no, ya sabes donde estamos saludos :lol:

msc.... cierra...

Mensaje por **msc hotline sat** » 26 Mar 2007, 07:07

Bueno, creo que lo entendiste mal, lucl, no quiere decir que esté enfadado (no habria razon) sino que espera no infectarse mas...

Nos complace saber que:

[quote]ELISTARA --> Junto con EliNotif.dll. Este es el programa que al final lo ha conseguido.[/quote]

[url=http://forum.telecharger.01net.com]

[img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 26-03-2007

saludos

ms, 26-03-2007

Mensaje por **msc hotline sat** » 26 Mar 2007, 11:46

Lamentablemente las muestras fueron interceptadas y no llegaron a su destino. Si puedem empaquetas en ZIP o RAR con password VIRUS y asi no serán detectadas y envienoslas de nuevo:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 26-03-2007