Saludos a los amigos del foro

Tengo un grave problema con un spyware. Hace algunos dias tuve que desactivar momentanemente el firewall de Norton (Norton Internet Security), el cual hasta ahora había funcionado sin problemas. Cuando de golpe se cerro el explorador de internet (MS-Internet Explorer), al tratar de abrirlo nuevamente la página de inicio había cambiado por una donde me avisaban que mi maquina esta con virus y me invitaban a instalar un antivirus que promocionaban. Me parecio bastante extraño asi que lo cancelé, pero de todas formas el antivirus de instaló y ejecutó. Lo cual, me molesto bastante. Así que procedi a desintalarlo sin problema. Pero la página de inicio del explorer se mantenia igual. En fin, me puse a navegar a buscar información sobre lo ocurrido y di con el famoso hijackthis y está web forospyware, leyendo algunos mensajes y el manual del hijackthis procedi a eliminar el problema de la página de inicio lo cual consegui sin mayor difultad. Además intalé el ewido anti-spyware y el spybot.

Al siguiente día, al cargar el explorer note algo raro (no se si será relevante) pero mi página de inicio es la de google.co.ve y cargo sin problema, pero al darle una busqueda ella me da los resultados desplazados a la derecha ya que se genero una especie de ventana donde aparece los enlaces que antes estaban en la parte superior (Imagenes, Noticias, grupos,....), pero ahora en forma de columna en el lado izquierdo. Probe con el mozilla (pensado que a lo mejor google habia hecho algun cambio) pero alli las ventanas de busquedas abrian el forma normal. (todo esto es bastante raro)

Hasta que ocurrio que el modem empezó a discar en forma automática, suerte que no lo tengo conectado, ya que uso una conexión ADLS. Fue cuando el ewido se disparó y me dice que tengo el Trojan.Dialer.qs localizado en C:\WINDOWS\system32\cool.exe, y en unos archivos temporales C:\WINDOWS\Temp. los hago eliminar, pero además descubro que en Herramientas\Opciones de Internet\Conexiones aparece configurada una conexión Dial-up llamada CoolWeb, en fin también la elimino. Pero al rato vuelve aparecer el ewido dandome la misma información.

La verdad que este asunto me tiene loco !!!. llevo varios días buscando información que me pueda ser útil sobre este dialer, pero parece ser que tiene variantes a destajo. Incluso utilizé una herramienta específica de Trend Micro CWShredder y no encuentra nada. Ejecute el spybot y me reporto otros spyware (Astakiller, SpywareQuake, Smitfraud-C y smitfraud-C Toolbar888) los cuales eliminé.

En este instante acabó de ejecutar el ewido y reporto el Trojan.dialer.qs pero no lo puede eliminar.

[2932] VM_13140000 -> Trojan.Dialer.qs : Error during cleaning.

Disculpen si me he extendido demasiado con este mensaje, pero es que el asunto me trae de cabeza.

Agradesco cualquier ayuda que me puedan facilitar.

Saludos

Et Nauta

Hola et_nauta, bienvenido al foro.

Al parecer ya has hecho bastante .

Cuando eliminar los archivos que te marca ewido, lo haces entrando a modo prueba de fallos?

Que te da el kaspersky online? si te detecta algo, pegas el reporte en tu proxima respuesta.

Saludos

Gracias AntonioG por responder tan rápidamente

Había ejecutado el Ewido en modo normal y no me permite eliminar el Trojan.Dialer.qs

Antes de reiniciar viendo que algo en el temporal de windows había disparado al Ewido, ejecuté el CClearner y limpie todo en windows (no lo limpié los registros porque eran demasiados y no estaba seguro cual eliminar)

Así que reinicie en modo seguro o a prueba de fallas, pero al ejecutar el Ewido no reporta nada. volvi a reiniciar en modo normal y ejecuté el Ewido nuevamente, pero no consiguio nada. Entonces abri el Explorer y vi que se habia corregido la "rara" ventana en la busqueda de Google.

Fui a Herramientas\Opciones de Internet\Conexiones y alli estaba la conexión Dial-up CoolWeb, la elimine.

Al poco rato se disparo el Ewido diciendome que tenía el ¡Bendito! Trojan.dialer,qs... ¡qué karma!, localizado en:

C:\WINDOWS\System32\cool.exe
C:\WINDOWS\TEMP\win38D.tmp.exe

(mientras copiaba las direcciones, se escuchaba como el modem trataba de conectarse) luego le puse que los eliminara y quedo todo en paz aparentemente.

Ejecute el Ewido y ¡¡Zas!! allí estaba nuevamente el Trojan.Dialer.qs trate de eliminarlo y reportó:

[2308] VM_13140000 -> Trojan.Dialer.qs : Error during cleaning.

¡Acaba de volver a disparase el Ewido! y ahora me dice que el trojan está localizado en C:\WINDOWS\TEMP\win390.tmp.exe... ¡esto es de locos!

En fin ejecute el Kasper on line y el reporte es el siguiente:

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Tuesday, September 12, 2006 11:39:47 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 13/09/2006
Kaspersky Anti-Virus database records: 209880
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - Critical Areas:
C:\WINDOWS
C:\DOCUME~1\ETNAUT~1\CONFIG~1\Temp\

Scan Statistics:
Total number of scanned objects: 12533
Number of viruses found: 1
Number of infected objects: 1 / 0
Number of suspicious objects: 0
Duration of the scan process: 00:07:26

Infected Object Name / Virus Name / Last Action
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\drivers\sptd.sys Object is locked skipped
C:\WINDOWS\system32\drivers\sptd3821.sys Object is locked skipped
C:\WINDOWS\system32\drivers\vaxscsi.sys Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\system32\winwil32.dll Infected: Packed.Win32.Klone.g skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
C:\DOCUME~1\ETNAUT~1\CONFIG~1\Temp\Perflib_Perfdat a_3e8.dat Object is locked skipped

Scan process completed.

Como se ve hay un virus el [b]Packed.Win32.Klone.g[b] en el system32



Saludos

Hola,

Elimina ese archvio a modo prueba de fallos, junto con los demas que has etado borrando :
C:\WINDOWS\system32\winwil32.dll.

Si despues de borrar etsos archvios y reiniciar vuelve a aparecer, nos dices y ya cambiamos de estrategia para eliminar estos archivos.

Saludos

Amigo AntonioG

A mi entender parece ser que, el virus "Packed.Win32.Klone.g" alojado en el archivo "winwil32.dll" es el causante de la reaparición del spyware "Trojan.Dialer.qs", el cual se activaba cada vez que ejecutaba el Explorer. Razón por la que el Ewido lo detectaba, eliminaba pero volvía aparecer.

Bien seguí tu consejo de eliminar el winwil32.dll, pero fue imposible, ni en modo seguro o normal. Inclusive lo intente con el Killbox en ambas modalidades y tampoco. Procedí a renombrarlo, a cambiar mis privilegios para poder eliminarlo en el registro mismo... pero nada de nada. Allí seguía durísimo, pegado con cemento.

Revisando un poco (léase navegando) encontré el que el bendito virus no es muy conocido por los antivirus como Norton, McAfee, Panda, Trend Micro,... a menos que tenga otro nombre o variante.

En definitiva como el Kaspersky lo reconoció, debería poder eliminarlo; claro la versión on line no lo permite, así que bajé e instalé el Kaspersky en su versión por 30 días. Lo ejecuté y ¡Santo Arreglo!

Aproveche y limpie el registro con el CClearner, ya que, algunas programas que había desinstalado y habían dejado sus huellas. Por último con el Regedit trate de localizar la(s) clave(s) asociadas al archivo winwil32.dll y también las eliminé.

Reinicié la maquina y ..... Problemas !!!.

Del Virus no había ninguna traza, y a lado del reloj se cargaron los proceso del Norton Internet Security, del Ewido y del Kaspersky. Cuando trate de ejecutar el Explorer algo bloqueaba el acceso a internet. Cerré el Kaspersky y el Explorer cargo la página de inicio (por defecto google) cuando fui a realizar una búsqueda... ¡¡Zas!! Se cerró el Explorer.

Pensé en reinstalar el explorer... Así que a través de Mozilla baje la nueva versión del explorer 7.0 y cuando la voy a instalar, los muy @$?##@ de Microsoft chequea la autenticidad de Windows XP….


Arranque la maquina con el disco de Windows xp y lo reinstale, sin borrar la anterior en modo de reparación… y se mantuvo estable (pensé que lo había logrado) hasta que la reinicie…

Bien después de varios días corriendo antivirus, anti-spyware en modo seguro y normal. Ejecutando software de limpieza y reparación del registro como CClearner y el RegSeeker. Incluso el chkdsk del disco de instalación de Windows.

Estoy casi seguro que ni virus, ni spyware se encuentran en la maquina, pero creo intuir que el virus hizo más daño del esperado y corrompió el sistema en varias formas.

Lo primero, es que después de cargar la página de inicio el Explorer, al intentar navegar se cierra automáticamente. Segundo, cuando trato de cargar el restaurado del sistema se cierra en la misma forma. Tercero, al abrir en inicio/ buscar y hacer click sobre “todos los archivos y carpetas” se cierra también… esto es lo que conseguido hasta ahora.

Además la maquina anda bastante lenta debido a la alta carga de transacciones. Ejemplo: el servicio svchost.exe se encuentra 6 veces en ejecución, con un aproximado de 20 MB (creo que no es normal).

En fin…. Estoy a punto de volverme un asesino…

Amigo AntonioG ¿si tienes alguna idea? … porque ya me veo formateando el disco e instalando todo de nuevo.

Saludos

¡¡ POR FIN !! … (creo)

Negado a darme por vencido… seguí investigando que podía hacer con el cierre abruto del Explorer; y en este mismo foro encontré la solución.

La herramienta IEFix pequeñita pero brutal!... Reparo todo el desarreglo que tenía el sistema, inclusive los otros dos puntos citados en el post anterior.

Ahora si celebro...

Espero que está pequeña crónica sirva para alguien más, si logra sobrevivir al stress que significa eliminar estos “bichos”.

Amigo AntonioG gracias por indicarme el camino. No conocía al Kaspersky y realmente hay que tenerlo en cuenta. Tampoco conocía el Nod32 y por lo que he leído aquí la confianza en él es bastante alta, yo en lo particular había siempre utilizado el viejo Norton, sobre todo por ser uno de los primeros antivirus y en mantener un alto estándar , pero parece que se está durmiendo en sus laureles…

Por último, felicito a la gente que tiende la mano en foros como éste, son de mi más alta estima y agradecimiento...


Saludos

Hola,

Que bueno que ya pudiste resolver tu problema

Esta vez si sentí que solo estaba escuchando , la verdad es que investigaste por tu cuenta lo suficiente para resolver tu problema . eres el usuario más trabajador que he visto .

Bueno, me dio gusto haber participado en tu tema, y , si no hay más que agregar, este tema está "Solucionado".

Saludos y suerte