• Registrarse
  • Iniciar sesión


  • Resultados 1 al 7 de 7

    ¿Cómo quito un dialer que me detecta SpyXPoser (de Panda) ? (Solucionado)

    Resumen del tema: ¿Cómo quito un dialer que me detecta SpyXPoser (de Panda) ? (Solucionado) - Tras analizar en línea mi ordenador con el "spyXposer" desde la web de Panda, me ha encontrado un dialer, dándome los siguientes datos (sólo informativos ya que no lo ha eliminado): - Adaware/ dialer.gi: HKEY_CLASSES_ROOT\Interface\{E1E7E702-E22C-40A1-A936-3F8EF75C71F5} ...

      
    1. #1
      Usuario Avatar de Wallander
      Registrado
      jun 2005
      Ubicación
      España
      Mensajes
      33

      Bien ¿Cómo quito un dialer que me detecta SpyXPoser (de Panda) ? (Solucionado)

      Tras analizar en línea mi ordenador con el "spyXposer" desde la web de Panda, me ha encontrado un dialer, dándome los siguientes datos (sólo informativos ya que no lo ha eliminado):

      - Adaware/ dialer.gi:
      HKEY_CLASSES_ROOT\Interface\{E1E7E702-E22C-40A1-A936-3F8EF75C71F5}

      Tras esta información me fui al registro y encontré esa entrada, teniendo además dos subcarpetas con estos nombres:
      - Proxy StubClsid, y
      - ProxyStubClsid 32.

      ¿¿Es un dialer o es un falso positivo??
      Hago esta pregunta porque los otros programas que tengo instalados no me han detectado nada: Ad-Aware SE y Spybot. Tampoco el Avast! ni el Kaspersky en línea.
      A ver si alguien puede echarme una mano.
      (No sé si con esta información será suficiente o tengo que poner el log de HijackThis)
      Tengo el sistema actualizado y uso el WIndows XP Home Edition.
      Lo único que he notado últimamente es una ralentización desesperante al arrancar el ordenador, no sé si tendrá algo que ver.
      Saludos y espero vuestra ayuda.

    2. #2
      Ex-Colaborador Avatar de GPastor
      Registrado
      mar 2005
      Ubicación
      Perú
      Mensajes
      23.111

      Re: ¿Cómo quito un dialer que me detecta SpyXPoser (de Panda) ?

      Descarga EWIDO actualízalo y realiza un escaneo con esta herramienta, luego nos pegas el log de los archivos que no haya podido eliminar y nos cuentas como te fue.

      Saludos

    3. #3
      Usuario Avatar de Wallander
      Registrado
      jun 2005
      Ubicación
      España
      Mensajes
      33

      Re: ¿Cómo quito un dialer que me detecta SpyXPoser (de Panda) ?

      Hola de nuevo:
      He pasado el Ewido Security Suite en sus cuatro formas de escaneo: Registry Scan, Memory Scan, Fast System Scan y Complete System Scan, estando el pc en "modo seguro", y no me ha encontrado ningún fichero infectado.
      Estando en modo seguro hice el log con HijackThis que pongo a continuación.

      -¿Sería un aviso falso el de "spyXposer"?
      -¿Es aconsejable borrar las entradas del Registro que me marcó?
      - Por favor, indíquenme si ven algo raro en el informe de HT:
      Gracias

      Logfile of HijackThis v1.99.1
      Scan saved at 12:40:52, on 25/11/2005
      Platform: Windows XP SP1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\SYSTEM32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\HijackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://alerta-antivirus.red.es/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por Ya.com
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: (no name) - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - (no file)
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
      O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
      O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\Office10\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
      O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
      O12 - Plugin for .mp3: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll
      O12 - Plugin for .mpeg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll
      O12 - Plugin for ¸æØ: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll
      O12 - Plugin for ôå: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin4.dll
      O15 - Trusted Zone: www.alerta-antivirus.es
      O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
      O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
      O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - file://D:\install\AuthorwareFull\AwareWebPlayer\Download\Smart\Cab\awswaxf.cab
      O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://D:\content\include\XPPatchInstaller.CAB
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125685278640
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -
      O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) -
      O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://D:\Content\include\msSecUcd.cab
      O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
      O16 - DPF: {9B03C5F1-F5AB-47EE-937D-A8EDA626F876} (Anonymizer Anti-Spyware Scanner) -
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
      O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
      O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    4. #4
      Ex-Colaborador Avatar de GPastor
      Registrado
      mar 2005
      Ubicación
      Perú
      Mensajes
      23.111

      Re: ¿Cómo quito un dialer que me detecta SpyXPoser (de Panda) ?

      No hay referencia de lo que mencionas en el log de Hijackthis, aunque preferiría que lo pases en Modo Normal.

      El Panda en bueno para los virus pero para spyware/adwares y demás cosas aún le falta pulir algunos detalles, por lo que puede ser un falso positivo lo que mencionas.

      En el log solo veo una entrada innecesaria a la que puedes darle Fix Checked:

      O2 - BHO: (no name) - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - (no file)

      Y si tu mismo no pusiste en tus sitios de confianza lo que figura en la entrada 015:

      O15 - Trusted Zone: www.alerta-antivirus.es

      - Descarga y ejecuta la herramienta TZ-Kill.zip para eliminar automáticamente las entradas de sitios de confianza "015 - Trusted Zone")

      Por lo demás no hay nada mas de cuidado en ese log.

      Para ganar un poco mas de velocidad en el inicio del sistema pasa el Regseeker para Limpiar el Registro, pásalo hasta q no quede nada para eliminar.

      También revisa el manual Los Servicios de Windows XP.

      Ya nos contarás como te fue.

      Saludos

    5. #5
      Usuario Avatar de Wallander
      Registrado
      jun 2005
      Ubicación
      España
      Mensajes
      33

      Re: ¿Cómo quito un dialer que me detecta SpyXPoser (de Panda) ?

      - En sitios de confianza tengo esa dirección web de alerta-antivirus, no hay problema con ella.
      - Al intentar al entrada BHO que me indicas, con HijackThis, con lo consigo. Una vez reiniciado el pc la entrada vuelve a estar ahí. Y eso que le había dado permiso a SpyBot para la modificación del registro. ¿Cómo podría quitarla?
      - El troyano que me detectó SpyWPoser de Panda, está registrado en la web del antivirus Sophos:
      - Trojan/Agent-DQ.
      - Troj_Agent.AX.
      - Downloader-NL.
      - Trojan-Sownloader.WIn32.Agent.au
      (De todas estas formas lo denominan. Dice en su web que se instala en el registro del sistema y que es creado por un programa malintencionado. Es un componente de ayuda de descarga de un archivo DLL Windows.
      (ttp://esp.sophos.com/virusinfo/analyses/trojagentdq.html).

      - El caso es que ni Kasperski, ni Avast ni Trendmicro lo detectaron. Parece que Sophos sí, pero las explicaciones para quitarlo no las entiendo. Haber si podéis indicarme alguna forma de hacerlo.
      - Ah! también pasé el A-squared (A2) y tampoco me lo detectó.
      - Los servicios de Widows los tengo revisados y muchos de ellos quitados, pienso que ahí no esta el problema. RegSeeker también lo paso, así como CCleaner y RegCleaner.
      Bueno, a ver si podemos en otra intentona con el dichoso troyano este.
      Gracia por la atención y espero vuestra ayuda.

    6. #6
      Ex-Colaborador Avatar de GPastor
      Registrado
      mar 2005
      Ubicación
      Perú
      Mensajes
      23.111

      Re: ¿Cómo quito un dialer que me detecta SpyXPoser (de Panda) ?

      - Con respecto al log de Hijackthis la entrada:

      O2 - BHO: (no name) - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - (no file)

      Pertenece al SpywareGuard y no representa ningún peligro, pero es una entrada innecesaria, si deseas eliminarla de todas maneras, desactiva momentáneamente programas (si los tienes) como Ad-Watch de Ad-aware, Microsoft AntiSpyware, Tea Timer de Spybot, etc. Luego dale Fix Checked a esa entrada y verifica los resultados.

      - Para eliminar la clave de Registro que te encuentra el SpyXposer vamos a usar el buscador del Regseeker y busca la clave que te indica el SpyXposer:

      {E1E7E702-E22C-40A1-A936-3F8EF75C71F5}

      Luego procede a eliminar esa clave, no sin antes verificar que la opción Backup antes de suprimir esté activada.

      Reinicia la máquina y verifica los resultados, si encuentras algún error en tu sistema puedes recuperar la clave del registro con el Backup del Regseeker.

      Ya nos contarás como te fue.

      Saludos

    7. #7
      Usuario Avatar de Wallander
      Registrado
      jun 2005
      Ubicación
      España
      Mensajes
      33

      Re: ¿Cómo quito un dialer que me detecta SpyXPoser (de Panda) ?

      (Antes de nada disculpas por el retraso en contestar)

      Como en la descripción que encontré en la web de SOPHOS solo coincidía una entrada de las que señalaban allí opté por instalar Spy Sweeper de Webroot y al pasarlo me detectó una entrada. Al borrarla después pude comprobar que la entrada de SOPHOS ya no estaba.

      También pasé el a2 squared y no me detectó nada más.
      En fin, creo que ahora el pc está limpio aunque nunca se sabe.
      Saludos