 |
| |||||||
| Temas Solucionados Casos de HijackThis y Malwares resueltos. (Solo lectura) |
 |
| | Herramientas |
 | 
06/07/06, 11:48:00
|  |
| |||
| Dialer Italiano Idd.tmp.exe (Solucionado) Hola: Tengo desde hace tres días un dialer italiano maldito que resiste todo de todo. Por aquí lo habéis nombrado. Es un dialer que abre archivos porno "idd.tmp.exe" y "winX.tmp.exe" en la carpeta Windows/Temp y coloca un dialer en el menú de acceso telefónico. Se salta antivirus, antiespías, cortafuegos y la misma acción de eliminarlos, ya que se reactiva al iniciar Internet Explorer. No pasa nada si se usa Netscape u Outlook, por ejemplo. De vez en cuando, al cortarse la conexión tras unos minutos, aparece una ventana que dice "connesione impossibile. Il programa sara terminato". Al autoejecutarse, se renombra a sí mismo con variantes. He editado el registro de windows, pero me pierdo. Ayer borré un archivo que me pareció sospechoso que ponía "keygen" y me salió brevemente una ventana que decía "no hay nada que hacer". Aparte de la bromita, me lo creo. Ayudaaa. Llevo siete años y ningún virus me había vencido... hasta ahora. El informe log de Hijackthis es el siguiente: Logfile of HijackThis v1.99.1 Scan saved at 16:15:11, on 06/07/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\PAStiSvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SSScsiSV.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\ARCHIV~1\Sony\SONICS~1\SsAAD.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe C:\Archivos de programa\Messenger\msmsgs.exe C:\Documents and Settings\USER\Escritorio\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.elpais.es/indice.html R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SsAAD.exe] C:\ARCHIV~1\Sony\SONICS~1\SsAAD.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\system32\sfg_0366.dll" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\system32\sfg_0366.dll" O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Search - http://kv.bar.need2find.com/KV/menusearch.html?p=KV O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_10\bin\npjpi142_10.dll O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_10\bin\npjpi142_10.dll O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe O15 - Trusted Zone: http://www.sapiens.ya.com O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} - O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www4.aeat.es/es13/h/cactivex.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing) O18 - Filter: text/html - (no CLSID) - (no file) O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: MSCSPTISRV - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SSScsiSV.exe O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Gracias.      |
|
07/07/06, 13:27:24
| |
| ||||
| Re: Dialer Italiano Idd.tmp.exe Hola y Bienvenid@ a Forospyware! Tu log no muestra al dialer, sin embargo, sigue estos pasos Descarga las siguientes herramientas: Paso 1:
Ve al Panel de Control > Agregar o Quitar Programas > Desinstala los siguientes programas si se encuentran:
Paso 2: Ejecuta el hijackthis sin tener ningún otro programa abierto, marca y dale FixChecked a las siguientes entradas: O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\system32\sfg_0366.dll" O4 - HKCU\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\system32\sfg_0366.dll" O8 - Extra context menu item: &Search - http://kv.bar.need2find.com/KV/menusearch.html?p=KV Paso 3:
Copia y pega las siguientes entradas en el Killbox (una a la vez) donde dice "Full Path of File to Delete" y le das click al boton rojo con cruz blanca del programa para eliminar el archivo: C:\WINDOWS\system32\P2P Networking\P2P Networking.exe C:\WINDOWS\system32\sfg_0366.dll Elimina también la carpeta que te dejé allí remarcada en rojo Limpia los temporales y cookies con el Disk Cleaner Limpia el registro de windows con el Regseeker (pásalo varias veces hasta que no quede nada por limpiar) Paso 4: Reincia el sistema en modo normal Haz un chequeo con los antivirus online Kaspersky y Ewido Nos comentas como te fue y dejas un nuevo log para ver como quedó Salu2 Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog * Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando. * Para evitar Virus y Spywares al navegar por internet, USE FIREFOX !! * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro. |
|
08/07/06, 08:58:48
| |
| |||
| Re: Dialer Italiano Idd.tmp.exe Hola: Muchas gracias por vuestra ayuda. Creo que el maldito dialer italiano está aniquilado. Además de seguir las instrucciones, me fijé en otros casos parecidos al mío, y encontré lo siguiente: La línea 020 del Log de Hijackthis (APPInit_DLLs: sockspy.dll...) me parecía sospechosa, así que la borré. Parece que el virus ese se aloja preferentemente en esa entrada del registro. En Windows/System32 había un archivo sospechoso creado el mismo día que me entró el virus (winrkq32) y cuyo nombre es similar al de otros que habéis identificado en sistemas infectados por el dialer de marras. Tuve que utilizar el killbox y borrarlo cuando se reiniciara el sistema, porque se resistía a ser borrado con la opción estándar. Tras limpiar el registro, los temporales y pasar el antivirus, este es el log de Hijackthis: Logfile of HijackThis v1.99.1 Scan saved at 13:51:56, on 08/07/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\PAStiSvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\SOUNDMAN.EXE C:\ARCHIV~1\Sony\SONICS~1\SsAAD.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe C:\Archivos de programa\Messenger\msmsgs.exe C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SSScsiSV.exe C:\WINDOWS\system32\slrundll.exe C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE C:\Archivos de programa\Netscape\Netscape\Netscp.exe C:\Documents and Settings\USER\Escritorio\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.elpais.es/indice.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SsAAD.exe] C:\ARCHIV~1\Sony\SONICS~1\SsAAD.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_10\bin\npjpi142_10.dll O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_10\bin\npjpi142_10.dll O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe O15 - Trusted Zone: http://www.sapiens.ya.com O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} - O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www4.aeat.es/es13/h/cactivex.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7DB3B3F2-7149-4BC6-8924-BDFD32C2F464}: NameServer = 62.81.0.33 62.81.16.129 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: MSCSPTISRV - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SSScsiSV.exe O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe ------ No obstante, también he pasado el Vundofix y me señala los siguientes archivos que son ocultos del sistema. No he hecho nada porque el dialer ya no me aparece y porque al estar marcados como archivos ocultos de sistema no me atrevo a borrarlos. Los archivos son: C:\Windows\system32\byxvwlt.dll C:\Windows\system32\jkhfg.dll C:\Windows\system32\gfhkj.ini C:\Windows\system32\gfhkj.bak1 ----- Lo dicho, muchas gracias por vuestra ayuda. Y enhorabuena por vuestra labor. |
|
08/07/06, 16:43:04
| |
| ||||
| Re: Dialer Italiano Idd.tmp.exe Vamos por partes: El sockspy.dll de la entrada O20, no es un virus, pertence al BitDefender Pro, si alguna vez tuviste dicho antivirus, esa es la razón del por qué estaba esa entrada allí Los archivos que te detecta el vundofix, bórralos Tu log está limpio así que esperaré a ver que más me cuentas Salu2 Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog * Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando. * Para evitar Virus y Spywares al navegar por internet, USE FIREFOX !! * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro. |
|
09/07/06, 11:48:47
| |
| |||
| Re: Dialer Italiano Idd.tmp.exe Hola: Efectivamente, el bit defender lo usé hace tiempo, pero ya lo borré. He escaneado con el vundofix y tras quitar el archivo sospechoso ya no me sale nada en el segundo escaneo. El sistema ahora me funciona con normalidad, y no hay más cosas raras. Que siga así mucho tiempo. Mil gracias. |
|
« Tema Anterior
|
Próximo Tema »
| Herramientas | |
|
|
| 
Temas Similares | |
| Tema | Autor | Foro | Respuestas | Último mensaje |
| DIALER que ejecuta mensaje italiano (solucionado) | paunere | Temas Solucionados | 4 | 25/11/06 09:25:52 |
| Infectado con el dialer italiano (Solucionado) | chicobyte | Temas Solucionados | 3 | 04/07/06 19:49:50 |
| Dialer Italiano (Solucionado) | el_fiera | Temas Solucionados | 3 | 20/05/06 14:02:37 |
| Dialer Italiano (Otro que lo sufre) (Solucionado) | Jose_JN | Temas Solucionados | 4 | 23/04/06 18:06:00 |
| el Dialer italiano (Solucionado) | MAKOKI1964 | Temas Solucionados | 5 | 19/04/06 13:43:34 |
Todas las horas son GMT -4. La hora es 06:39:24.
