Hola buenas noches:

LLevo tres días intentando resolver los problemas del ordenador. Creo que tengo dialers, troyanos. No se, os cuento:
Tengo instalado el kaspersky con el firewal de window xp profesional servipack 2. Hace tres dias, al iniciar windows, observo que salta la ventana de conexion telefónica a redes. Antes, como me imagino que os pasa a todos, hasta que no le daba al icono de internet no me salia la dichosa ventana. Tengo adsl 1 mega con telefonica. Pense que era algún troyano. Le paso el kaspersky y me dice que no detecta virus. No obstante, le paso el panda on line y cual sería mi sorpresa que me aparecen un monton de troyanos, dialers, cokees, etc que el karspesky no detectaba.

A partir de este momento me conecto a este foro y leo y releo todas las utilidades que comentais. Me bajo todos los programas y sigo al pie de la letra el protocolo de El Piedra para una buena eliminación. He utilizado el Spy Sweeper 5.0, el Spybot Search & Destroy, Spywareblaster 3,5, etc., todos excepto la opción de hijacthis 1.991. He conseguido quitar algunos, pero cuando lo escaneo en línea con el Panda me siguen dando infecciones. Os pongo el log del panda on line:


Incidencia Estado Elemento

Adware:Adware/PornAbden No desinfectado c:\windows\system32\winlogin.exe
Herramienta potencialmente no deseada:Application/PRScheduler No desinfectado C:\Documents and Settings\PC\Menú Inicio\Programas\Inicio\PowerReg Scheduler.exe
Adware:adware/clickalchemy No desinfectado c:\windows\alchem.ini
Adware:adware/cws No desinfectado Registro de Windows
Dialer:dialer.asl No desinfectado HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{E15CFC65-973B-484F-888A-72C53D2935F8}
Dialer:dialer.adn No desinfectado HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{5F426A93-0821-47D2-A126-5A48A874B289}
Spyware:spyware/virtumonde No desinfectado Registro de Windows
Dialer:dialer generic No desinfectado HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{2C0F2AEA-3A9B-46DB-A7BE-80FF329E415D}
Adware:adware/twain-tech No desinfectado Registro de Windows
Dialer:dialer.ok No desinfectado HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{35F59C80-C1F2-4EEA-9981-686C7D5A9277}
Dialer:dialer.ix No desinfectado HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{4358161B-A4B8-498E-8019-3DAB50DFD578}
Dialer:dialer.bz No desinfectado HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{5C3A9EA6-4068-46B8-8B5A-692FB10607B1}
Adware:Adware/Gator No desinfectado C:\codecs\DivXPro511Adware.exe[Gain_Trickler.exe]
Spyware:Cookie/Falkag No desinfectado C:\Documents and Settings\PC\Cookies\pc@as1.falkag[2].txt
Spyware:Cookie/Tradedoubler No desinfectado C:\Documents and Settings\PC\Cookies\pc@tradedoubler[1].txt
Adware:Adware/Gator No desinfectado C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1019.dll
Adware:Adware/Gator No desinfectado C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1101.dll
Adware:Adware/Gator No desinfectado C:\WINDOWS\Downloaded Program Files\CONFLICT.2\HDPlugin1019.dll
Adware:Adware/Gator No desinfectado C:\WINDOWS\Downloaded Program Files\CONFLICT.2\HDPlugin1101.dll
Adware:Adware/Gator No desinfectado C:\WINDOWS\Downloaded Program Files\CONFLICT.3\HDPlugin1019.dll
Adware:Adware/Gator No desinfectado C:\WINDOWS\Downloaded Program Files\CONFLICT.4\HDPlugin1019.dll
Adware:Adware/Gator No desinfectado C:\WINDOWS\Downloaded Program Files\CONFLICT.5\HDPlugin1019.dll
Me tiene especialmente mosca el fichero, winlogin.exe. Este fichero lo carga windows automaticamente al inicio. Si busco en la carpeta system32 el fichero no está. Lo que si hay un fichero llamado winlogin.exe-1499f363.pf en la carpeta prefe de windows. En el registro se hace referencia a HKEY_CURRENT_USER\sOFTWARE\Microsoft\Windows\curre n version\run con el valor 2 de nombre winlogin y datos c:\windows\system32\winlogin.exe.

En otra clave, concretamente en HkEY_CURRENT_USER\sOFTWARE\miCROSFOT\Search Assistant\AcMru\5603, con el valor 3 aparece de nuevo winlogin.exe. En esta misma clave, con el valor 0 aparece yuetyutr.dll, con el valor 1 win32sockdrv.dll y con el valor 2 nstask32.exe

Lo que menciono anteriormente aparece tambien en la siguiente clave: HkEY_CURRENT_USER\S-1-5-21-1547161642-839522115-1417001333-1003sOFTWARE\miCROSFOT\Search Assistant\AcMru\5603.

Entrando con msconfig en los procesos que se cargan al principio, observo que esta proceso se carga. He preguntado a amigos y ellos no tienen nada de ésto. Por cierto, cuando el internet pongo adware/PordAbden no sale nada.

O sea, aquí ando super liado. No se lo que tengo que hacer. Que hago con los dialers, y con losl adware, etc.

Por cierto, utilizando el spy swweper 5.0, me detectó el virtumonde, el cws, y alguno más. Los borre, de hecho, ya no me los detecta cuando le paso la herramienta nuevamente, pero el panda on line, Si. ¿Qué puedo hacer?

SALUDOS

Hola...


Activa "ver archivos ocultos" luego descarga el Killbox y marcando la casilla "delete on reboot", elimina los siguientes archivos:

c:\windows\system32\winlogin.exe ¡¡NO lo confundas con el Proceso legitimo winlogon.exe!!
C:\Documents and Settings\PC\Menú Inicio\Programas\Inicio\PowerReg Scheduler.exe
c:\windows\alchem.ini
C:\codecs\DivXPro511Adware.exe[Gain_Trickler.exe]
C:\WINDOWS\Downloaded Program Files\CONFLICT.2\HDPlugin1019.dll
C:\WINDOWS\Downloaded Program Files\CONFLICT.2\HDPlugin1101.dll


Abre el regedit y elimina las siguientes entradas:

HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{E15CFC65-973B-484F-888A-72C53D2935F8}

HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{5F426A93-0821-47D2-A126-5A48A874B289}

HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{2C0F2AEA-3A9B-46DB-A7BE-80FF329E415D}

HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{35F59C80-C1F2-4EEA-9981-686C7D5A9277}

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{4358161B-A4B8-498E-8019-3DAB50DFD578}

HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{5C3A9EA6-4068-46B8-8B5A-692FB10607B1}

Descarga y ejecuta el CWShredder


Sigue esta guia para eliminar el VirtuMonde

Gracias:
De momento todo bien. Ya no sale la dichosa ventana. Ahora voy intentar eliminar el Virtumonde. Ya te contare. SALUDOS.

Hola de nuevo:

Siento mi tardanza, mi trabajo no me permite estar tanto tiempo en el ordenador como yo quisiera. Voy al grano:

Después de realizar paso a paso tus indicaciones, te mando nuevamente el informe del panda online y el ewido online.

Te comento lo que he hecho:

1.- Con el killbox elimine todos los archivos que me indicabas excepto los que hacian referencia a adware/gator con el nombre de CONFLICT1\.........
Cuando con el killbox intentaba dicirle la ruta, en esa ruta no se encontraba el archivo. Existen otros con un monton de números, que creo que hacen referencia a los que se refieren a los Hdplugin*.dll

2.- Borre del registro las claves, descargué el CWShrdder, lo ejecute y después seguí la guia para el virtumonde. Como consecuencia de esto te dejo el log que obtuve una vez que le pasé el panda online:


Incidencia Estado Elemento

Adware:adware/cws No desinfectado Registro de Windows
Adware:adware/twain-tech No desinfectado Registro de Windows
Dialer:dialer.ix No desinfectado HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Ext\Stats\{4358161B-A4B8-498E-8019-3DAB50DFD578}
Spyware:Cookie/Doubleclick No desinfectado C:\Documents and Settings\PC\Cookies\pc@doubleclick[1].txt
Adware:Adware/Gator No desinfectado C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1019.dll
Adware:Adware/Gator No desinfectado C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1101.dll
Adware:Adware/Gator No desinfectado C:\WINDOWS\Downloaded Program Files\CONFLICT.2\HDPlugin1019.dll
Adware:Adware/Gator No desinfectado C:\WINDOWS\Downloaded Program Files\CONFLICT.2\HDPlugin1101.dll
Adware:Adware/Gator No desinfectado C:\WINDOWS\Downloaded Program Files\CONFLICT.3\HDPlugin1019.dll
Adware:Adware/Gator No desinfectado C:\WINDOWS\Downloaded Program Files\CONFLICT.4\HDPlugin1019.dll
Adware:Adware/Gator No desinfectado C:\WINDOWS\Downloaded Program Files\CONFLICT.5\HDPlugin1019.dll
3.-Le pasé el ewido y me dió el siguiente resultado:

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Doubleclick
Path: C:\Documents and Settings\PC\Cookies\pc@doubleclick[1].txt
Risk: Medium

Name: Backdoor.Rbot
Path: C:\Antivirus y Cortafuegos\antitroyanos\TrojanHunter.v4.5.924.Inc l-Crack[WNET.co.[wnet.co.il].il]\Crack\THGuard.exe
Risk: High

Name: Backdoor.Rbot
Path: C:\Antivirus y Cortafuegos\antitroyanos\TrojanHunter.v4.5.924.Inc l-Crack[WNET.co.[wnet.co.il].il].rar/Crack\THGuard.exe
Risk: High

Name: Dropper.Agent.xk
Path: C:\Antivirus y Cortafuegos\Kaspersky Antivirus 2006 + key\Kaspersky.Antivirus.Personal.5.0.372.(español) .-.rar/Kaspersky Antivirus Personal 5.0.372 (espa¤ol)\Keys\key???@ttdown.com.exe
Risk: High

Name: Downloader.Small
Path: C:\Archivos de programa\eDonkey2000\dis-plugins\httpprotocol.dll
Risk: High

Name: Backdoor.Rbot
Path: C:\Archivos de programa\TrojanHunter 4.5\THGuard.exe
Risk: High

Name: Not-A-Virus.VirTool.Win32.AvSpoffer.a
Path: C:\Utilidades de windows\editores registros\RegSupremePro\otros para probar clave\RegSupreme.Professional.1.2.0.35_CRK-FFF\Crack-FFF.exe
Risk: Low

Name: Not-A-Virus.VirTool.Win32.AvSpoffer.a
Path: C:\Utilidades de windows\editores registros\RegSupremePro\otros para probar clave\RegSupreme.Professional.1.2.0.35_CRK-FFF.rar/Crack-FFF.exe
Risk: Low

Name: Adware.Gator
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1019.dll
Risk: Medium

Name: Adware.Gator
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1101.dll
Risk: Medium

Name: Adware.Gator
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.2\HDPlugin1019.dll
Risk: Medium

Name: Adware.Gator
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.2\HDPlugin1101.dll
Risk: Medium

Name: Adware.Gator
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.3\HDPlugin1019.dll
Risk: Medium

Name: Adware.Gator
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.4\HDPlugin1019.dll
Risk: Medium

Name: Adware.Gator
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.5\HDPlugin1019.dll
Risk: Medium

4.-Con el propio ewido eliminé todos lo virus que me indicaban, excepto el que hacia referencia al edonkey. No me atrebo porque no se si debo hacerlo.
Después borre las carpetas y desinstale los programos en los que el ewido me decia que habia adware.

5.- Le pase de nuevo el panda online y cual ha sido mi sorpresa que ya solo me quedan 3. El ewido había eliminado los que hacian referencia al adware/gator. Te pego el último log del Panda:


Incidencia Estado Elemento

Adware:adware/cws No desinfectado Registro de Windows
Adware:adware/twain-tech No desinfectado Registro de Windows
Dialer:dialer.ix No desinfectado HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Ext\Stats\{4358161B-A4B8-498E-8019-3DAB50DFD578}

Ya solamente me queda el dialer.ix y los adware/cws y adware/twain-tech. ¿Qué mas puedo hacer?.

Por cierto, ¿todos los scaneos con las herramientas de desinfección hay que hacerlos en modo seguro?. ¿Tambien el killbol? ¿y el regedit?. ¿Cuando tengo que desmarcar de nuevo la opcion recuperacion de copias de seguridad?. ¿Los scaneos on line hay que hacerlos en modo seguro?.
¿Cuándo tengo que limpiar el registro? ¿Qué hago con las claves que te mande en el primer correo en la que hacian referencia a archivo winlogin.exe?
¿Borro el archivo winlogin.exe-llkskdfkk.pf que tengo en el directorio prefetch de windows? Siento preguntar tanto es que como ves no se mucho de todo esto. En mis próximos correos, si no te importa preguntaré algo mas.


GRACIAS por todo. SALUDOS.

Hola redolfo... Para aclararte primero tus dudas:

1.- Las herramientas instaladas (como cualquier otro anti-spyware) de preferencia pasalas en Modo seguro.

2.- El Killbox lo puedes hacer en modo normal o seguro, el regedit tambien.

3.- La opcion de habilitar el sistema de recuperacion, lo puedes hacer ahora.

4.- Los escaneos online, lo haces en modo normal.

5.- Si puedes eliminar el archivo: winlogin.exe-llkskdfkk.p

6.- Sobre las llaves del Winlogin, las puedes borrar.



Ahora mis preguntas


¿borrastes los archivos que te encontro los antivirus online?

Sobre el eDonkey, mira este articulo sobre P2P con Spywares y sin spywares


Los pasos:


Sigue los primeros 9 Pasos









SaLu2.

Hola que tal:

Efectivamente. El ewido, tal y como puedes observar, me detecto otros virus que no me detectó el Panda. El Panda no me dejo borrar ninguno. Si embargo con el propio ewido online removi todos los que salían en el informe, excepto el de edonkey. Posteriormente a esto, imprimir el log del ewido y fui desistalando programas y borrando las carpetas en la que me decia que habia tenido alguna infección.

Te pongo las carpetas que borre

C:\Antivirus y Cortafuegos\antitroyanos\TrojanHunter.v4.5.924.Inc l-Crack[WNET.co.[wnet.co.il].il]\Crack\THGuard.exe

C:\Antivirus y Cortafuegos\antitroyanos\TrojanHunter.v4.5.924.Inc l-Crack[WNET.co.[wnet.co.il].il].rar/Crack\THGuard.exe
Risk: High

C:\Antivirus y Cortafuegos\Kaspersky Antivirus 2006 + key\Kaspersky.Antivirus.Personal.5.0.372.(español) .-.rar/Kaspersky Antivirus Personal 5.0.372 (espa¤ol)\Keys\key???@ttdown.com.exe

C:\Utilidades de windows\editores registros\RegSupremePro\otros para probar clave\RegSupreme.Professional.1.2.0.35_CRK-FFF\Crack-FFF.exe

C:\Utilidades de windows\editores registros\RegSupremePro\otros para probar clave\RegSupreme.Professional.1.2.0.35_CRK-FFF.rar/Crack-FFF.exe
Risk: Low


****************** Este lo desinstalé
Path: C:\Archivos de programa\TrojanHunter 4.5\THGuard.exe
*********************************

Este programa no lo he tocado
C:\Archivos de programa\eDonkey2000\dis-plugins\httpprotocol.dll



Todos estos los removi directamente con ewido online
Name: Adware.Gator
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1019.dll
Risk: Medium

Name: Adware.Gator
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1101.dll
Risk: Medium

Name: Adware.Gator
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.2\HDPlugin1019.dll
Risk: Medium

Name: Adware.Gator
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.2\HDPlugin1101.dll
Risk: Medium

Name: Adware.Gator
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.3\HDPlugin1019.dll
Risk: Medium

Name: Adware.Gator
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.4\HDPlugin1019.dll
Risk: Medium

Name: Adware.Gator
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.5\HDPlugin1019.dll
Risk: Medium


No se que más información necesistas. SALUDOS.

Lo unico que necesito son los sintomas que siguen presentando tu PC.


¿Problema resuelto?


Si te hago una pregunta un poco personal... Pero, ¿Tiene mucha importancia el eDonkey? Disculpa por el tipo de pregunta , Pero como te avise en la lista de P2P sospechosos, tambien te da una lista de P2P validos.

Hola:

Lo que te he querido decir es que me gustaria facilitarte mucha mas información pero como no se mucho de esto hasta que tu no me preguntes no se que necesitas.En ningún momento me molesta que me preguntes lo que sea. Soy un libro abierto. Ademas te agradezco enormemente el esfuerzo que haces conmigo y con todos para ayudar a los que no sabemos.

Te cuento, utilizo en edonkey 1.4.3b con el kaspersky siempre activado y el firewal de windows. Hasta ahora no tenia residente ningun antispiware. ¿Cúal me puedes recomendar o mejor me paso al emule?.
Respecto a las infecciones que todavia tengo, dime si te puedo dar más información para que valores exactamente lo que ocurre en mi PC.
SALUDOS.

Los Antispywares que te recomiendo son: SpyBot S&D, Spywareblaster y el Ad-aware.

Otros antispywares mas potente serian el AVG Antimalware (Con relacion a Ewido) y el Spysweeper, pero ambos son de pago, pero puedes utilizar el trial de 30 dias.


Si te recomendaria pasarte al eMule o al Limewire (Las versiones actuales)




* Ahora como te digo, la principal informacion que necesito es ¿Qué sintomas sigue presentando tu PC? ¿Síguen presentandose los Dialers en tu PC?


Cuentanos un poco mas, lo que te esta ocurriendo despues de borrar los archivos que te indica los antivirus online...






Salu2.

Hola:

Mi PC va bien. Mas rápido. Los dialers han desaparecido. No me da ningún tipo de error. Antes cuando iniciaba windows, me saltaba la ventana de acceso telefonico a redes. Esto ya ha desaparecido. Lo que si tengo ahora es más miedo que antes. Creía que con el kaspersky lo tenía todo solucionado y parece que no es así porque tambien es imprescindible tener un buen anti-adware. Yo creo que es todo normal, salvo que según el Panda Online tengo aun un dialer y dos adware. Te pongo el ultimo log del Panda:

Incidencia Estado Elemento

Adware:adware/cws No desinfectado Registro de Windows
Adware:adware/twain-tech No desinfectado Registro de Windows
Dialer:dialer.ix No desinfectado HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Ext\Stats\{4358161B-A4B8-498E-8019-3DAB50DFD578}

No se si volver a repetir todo el proceso de desinfección para intentar que desaparezcan. ¿Puedo borrar la clave del dialer.ix?.


Lo que más coraje me da es, que desde el principio, según mi antivirus kaspersky (con las claves buscadas en internet) no tenía ninguna infección.
SALUDOS.