como puedo eliminar exdialer

macondo · Mensaje por **macondo** » 09 May 2004, 21:19

hola amigos, llevo un par de dias con el exdialer y no hay manera de quitarlo. lo borro y cuando reinicio aparece de nuevo en "Conexiones". me causa bastantes problemas porque cuando llevo unos 5 minutos conectado me desconecta e intenta conectarse por su cuenta.

he pasado el ad-aware y spybot y ninguno lo detecta, a pesar de estar ambos actualizados.

que puedo hacer?

Mensaje por **cañera** » 09 May 2004, 21:35

pasa el spybot y adaware en a modo prueba de errores desactivando restaurar sistema.

y una vez limpios de spywares, como protección residente, SPYBOT recomienda SPYWAREBLASTER:

Descarga de la última versión (SpywareBlaster v3.0, 13/abril/04)

http://www.javacoolsoftware.com/sbdownload.html

Download SpywareBlaster 3.1 from http://www.ct7support.com

PD.[u]si tienes correo electronico con terra el spyware blaster te lo bloqueará si fuese este tu caso nos lo dices y te ayudaremos a desbloquearlo[/u].

y otra cosa no menos importante,si te quieres curar en salud,llamando al 1004 de telefonica y diciendole que te bloqueen las llamadas al (906-905-806)todos los nº pagos se acabará tu problema con los dialers.

cuentanos como te fue

Mensaje por **msc hotline sat** » 10 May 2004, 08:08

Y complementando a la cañera, si no logras dicha eliminacion, cabe probar el CWSHREDDER, que es un gran eliminador de páginas de inicio rebeldes y de dialers

__________________________________________

Para eliminación de intrusos con páginas de inicio no restaurables, dialers, etc,

http://www.softpedia.com/public/scripts/downloadhero/10-17-150/

http://www.zonavirus.com/descargas/CWShredder.exe

__________________________________________

saludos

ms, 10-05-2004

macondo · Mensaje por **macondo** » 10 May 2004, 22:53

hola de nuevo, he probado todo lo que habeis puesto y no consigo eliminarlo. vuelve a aparecer el dichoso dialer. ya no se que hacer.... estoy pensando en formatear el disco duro....

carolxsiempre · Mensaje por **carolxsiempre** » 10 May 2004, 23:34

Pues no formatees macondo, bájate la utilidad llamada hijackthis y el resultado lo pegas como respuesta a éste tema.

http://www.spywareinfo.com/~merijn/files/hijackthis.zip

Saludos

Carolxsiempre

macondo · Mensaje por **macondo** » 10 May 2004, 23:55

bueno, he pasado la ultima aplicacion que habeis puesto y el resultado del scan es el siguiente:

Scan saved at 23:51:11, on 10/05/04

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\ARCHIVOS DE PROGRAMA\MCAFEE\MCAFEE VIRUSSCAN\AVSYNMGR.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\MCAFEE VIRUSSCAN\ALOGSERV.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\CREATIVE\SHAREDLL\CTNOTIFY.EXE

C:\ARCHIVOS DE PROGRAMA\CREATIVE\AUDIO\PROGRAM\CTMIX32.EXE

C:\WINDOWS\SM56HLPR.EXE

C:\ARCHIVOS DE PROGRAMA\WINAMP\WINAMPA.EXE

C:\WINDOWS\LSASS.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\WINDOWS\SYSTEM\SERVICES.EXE

C:\ARCHIVOS DE PROGRAMA\CREATIVE\SHAREDLL\MEDIADET.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\MCAFEE VIRUSSCAN\VSSTAT.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\MCAFEE VIRUSSCAN\AVCONSOL.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\MCAFEE VIRUSSCAN\VSHWIN32.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\MCAFEE VIRUSSCAN\WEBSCANX.EXE

C:\WINDOWS\SYSTEM\WINOA386.MOD

C:\WINDOWS\SYSTEM\WINOA386.MOD

C:\WINDOWS\IDIALER\WANADOO-TARIFA PLANA 24 HORAS ACELERADOR\IDIALER.EXE

C:\WINDOWS\IDIALER\WANADOO TURBO\WTURBO.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\ARCHIVOS DE PROGRAMA\WINZIP\WINZIP32.EXE

C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eresmas.com/i2r/login2?to=www.wanadoo.es&nack=www.wanadoo.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Explorer

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5400

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F1 - win.ini: run=hpfsched

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: (no name) - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\WINDOWS\IDIALER\WANADOO TURBO\PBHELPER.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [Alogserv] C:\Archivos de programa\McAfee\McAfee VirusScan\alogserv.exe

O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [Mount Safe & Sound] C:\ARCHIVOS DE PROGRAMA\MCAFEE\MCAFEE SHARED COMPONENTS\SAFE&SOUND\FBMOUNT.EXE

O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [CreativeMixer] C:\Archivos de programa\Creative\Audio\PROGRAM\CTMIX32.EXE /t

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\ARCHIVOS DE PROGRAMA\WINAMP\WINAMPa.exe"

O4 - HKLM\..\Run: [System Process] C:\WINDOWS\lsass.exe /i

O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Archivos de programa\McAfee\McAfee VirusScan\AVSYNMGR.EXE

O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\services.exe

O8 - Extra context menu item: &Google Search - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html

O8 - Extra context menu item: Si&milar Pages - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html

O8 - Extra context menu item: Backward &Links - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html

O8 - Extra context menu item: Mostrar Imagen Original - res://C:\WINDOWS\IDIALER\WANADOO TURBO\WTURBO.EXE/227

O8 - Extra context menu item: Mostrar todas las imágenes originales - res://C:\WINDOWS\IDIALER\WANADOO TURBO\WTURBO.EXE/250

O9 - Extra button: Coches (HKLM)

O10 - Unknown file in Winsock LSP: c:\windows\idialer\wanadoo turbo\sliplsp.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=

O14 - IERESET.INF: START_PAGE_URL=

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {58172624-85DD-4482-9E64-02ADCA637E96} - http://www.kungfuchess.com/activex/web580.cab

O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab

O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38061.4855324074

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/threatinfo/virusinfo/webscan.cab

carolxsiempre · Mensaje por **carolxsiempre** » 11 May 2004, 00:27

Hay una entrada que no me es muy familar y es :

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab

Pero tu conexión a internet es por dialer asi que usa la siguiente utilidad para eliminarte del exdialer

http://www.xblock.com/cgi-bin/mirror.pl/xcleaner_free.exe

Saludos

Carolxsiempre

Mensaje por **msc hotline sat** » 11 May 2004, 16:18

Aparte, mira si encuentras el fichero WebRecomendada.cab con un INICIO-BUSCAR

Si lo encuentras envianoslo a zonavirus@satinfo.es y lo analizaremos a ver si tiene algo que ver.

Tambien podrías moverlo a una carpeta de cuarentena y ver si, tras reiniciar, persiste el problema.

Envianos el indicado fichero anexado a un mailm cuyo texto sea un copiar y pegar de este Tema, y te contestaremos como respuesta al mismo,

saludos

ms, 11-05-2004

Mensaje por **msc hotline sat** » 11 May 2004, 16:56

Y aparte de lo indicado para el dialer, dando un vistazo a tu inicio, veo de entrada que se intenta cargar un LSASS.EXE desde :\Windows, cuando ello es propio de los adwares y de algunos virus, pues, en primer lugar no es normal tener el LSASS.EXE en el directorio de windows sino en el de sistema, y en segundo lugar, no hay LSASS.EXE en Windows98 o similar, y por los directorios existentes en su máquina, al parecver usa uno de estos sistemas operativos, no XP o 2000 (su directorio de sistema es SYSTEM, y no SYSTEM32 como sería en XP o W2000)

Por tanto, este LSASS.EXE es sospechoso, y conviene examinarlo, bien con un antivirus ONLINE o con un antispyware, o enviarnoslo, además del otro, a zonavirus@satinfo.es para su examen. Recuerde si lo hace, ponet como Texto del mail en el que envia el fichero anexado, un copiar y pegar de este Tema para contestarle como respuesta al mismo.

Vea por ejemplo informacion de spywares que usan un LSASS.EXE desde C:\windows, en:

http://www.spywareinfo.com/forums/index.php?showtopic=42900

lo raro es que con el SPYBOT o AD:AWARE que pasó, no se lo detectara. Actualicelos y vuelvalos a lanzar.

saludos

ms, 11-05-2004

macondo · Mensaje por **macondo** » 13 May 2004, 21:59

hola amigos, creo que ya tengo solucionado el problema. me baje el antivirus AVG 7.0 y me detecto un virus denominado kernel32.exe, en la descripcion ponia Trojan horse Dialer. lo elimine y por ahora no ha vuelto a aparecer el dichoso dialer. lo que me extraña es que ni el mcafee ni ad-aware ni spybot lo detectaran.... bueno, espero que no aparezca de nuevo.

muchisimas gracias a todos por vuestra ayuda.

macondo · Mensaje por **macondo** » 13 May 2004, 22:11

ah, tambien me ha salido el LSASS.EXE que ya mencionabais y el antivirus me recomendaba eliminarlo, asi que borrado tambien.

Mensaje por **msc hotline sat** » 14 May 2004, 13:18

Pero se le pedía que nos enviara el indicado LSASS.EXE sospechoso a zonavirus@satinfo.es y todavía lo estamos esperando.

Ya le dije que era sospechosos por dos motivos, por estar en C:\Windows y por estar en S.O. Windows98 y le pedímos que nos lo enviara.

Si no lo ha hecho, ¿Como quiere que controlemos dicho virus? Las miestras que nos envian sirven para esto, para pasar a ser identificadas por los antivirus. Sin la colaboracion solicitada, no lo pretenda !

Si se lo ha movido a un directorio de cuarentena, envienoslo y lo controlaremos.

Y sobre un fichero de nombre KERNEL32.EXE son varios los virus que lo utilizan, como el muy conocido BADTRANS, pero si no lo detectaban los antivirus, es lógico si no se trataba de un virus, sino de un troyano adware, pero si se nos envía muestra del mismo, tambien pasarñiamos a controlarlo.

Para tu conocimiento, estos bichos que no son virus, McAfee los detecta si se tiene seleccionada la opcion de deteccion de elementos potencialmente peligrosos, lo cual no viene activada por defecto para no confundir,

El AVG es un antitroyano, por lo que ya lo contempla por defecto.

De todas formas, de lo que no se detecte, siempre envíanos muestra, habiendolo posteado en zonavirus, y haz un copiar y pegar del post en el mail en el que las adjuntes.

saludos

ms, 14-05-2004

yorly · Mensaje por **yorly** » 17 May 2004, 01:48

QUE HAGO PARA SOLUCIONARLO ...DE TODO LO QUE DECIS AQUI..INSTALO EL AVG...O QUE----POR FAVOR...AYUDENME....YA HICE LO DEL SPYBOT....ADAWARE--- Y NAADDDAA

[quote="macondo"]hola amigos, creo que ya tengo solucionado el problema. me baje el antivirus AVG 7.0 y me detecto un virus denominado kernel32.exe, en la descripcion ponia Trojan horse Dialer. lo elimine y por ahora no ha vuelto a aparecer el dichoso dialer. lo que me extraña es que ni el mcafee ni ad-aware ni spybot lo detectaran.... bueno, espero que no aparezca de nuevo.

muchisimas gracias a todos por vuestra ayuda.[/quote]

Mensaje por **msc hotline sat** » 17 May 2004, 07:49

Tal y como se indica en los anteriores post de este Tema, si detectas ficheros infectados y no puedes eliminarlos, envianloslos a zonavirus@satinfo.es , anexados a un mail cuyo texto sea un copiar y pegar der este post, y te contestaremos como respuesta a este Tema

saludos

ms, 17-05-2004

como puedo eliminar exdialer

como puedo eliminar exdialer

YO TAMBIEN TENGO EL EXDIALER...QUE HAGO