• Registrarse
  • Iniciar sesión


  • Resultados 1 al 4 de 4

    no puedo quitar el malware win32:porndialer-bj

    Resumen del tema: no puedo quitar el malware win32:porndialer-bj - El otro día me bajé lo que pensaba que era un serial y me ha entrado este malware. El avast me lo detecta y me dice que es el win32:porndialer-BJ. Suele estar en c:\windows\temp\win??.tmp.exe (?=letras ...

      
    1. #1
      Usuario Avatar de inigok7
      Registrado
      ene 2006
      Ubicación
      españa
      Mensajes
      6

      no puedo quitar el malware win32:porndialer-bj

      El otro día me bajé lo que pensaba que era un serial y me ha entrado este malware. El avast me lo detecta y me dice que es el win32:porndialer-BJ.
      Suele estar en c:\windows\temp\win??.tmp.exe (?=letras y/o números al azar)
      Lo borro pero al cabo de un rato vuelvo a salirme lo mismo. Lo curioso es que le he pasado el Ad-Aware SE Personal, el Spybot - Search & Destroy y el avast y no detectan nada.
      Os dejo el log:

      Logfile of HijackThis v1.99.1
      Scan saved at 16:54:34, on 22/01/2007
      Platform: Windows XP SP1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
      C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
      C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\hpoopm07.exe
      C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Archivos de programa\Ashampoo\Ashampoo FireWall\FireWall.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe
      C:\Archivos de programa\Hewlett-Packard\AiO\hp officejet k series\Bin\hpoorn07.exe
      C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
      C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
      C:\ARCHIV~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
      C:\WINDOWS\System32\hpoipm07.exe
      C:\Archivos de programa\Mozilla Firefox\firefox.exe
      C:\Archivos de programa\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
      C:\Archivos de programa\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
      C:\WINDOWS\system32\ntvdm.exe
      C:\WINDOWS\TEMP\win1B.tmp.exe
      C:\Archivos de programa\HJT\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.es/correo
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.telefonica.net
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por Telefónica Net
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
      O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
      O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINDOWS\System32\spool\DRIVERS\W32X86\hpoopm07.exe
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Archivos de programa\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
      O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\erdienge.dll",setvm
      O4 - HKLM\..\Run: [UDial] C:\WINDOWS\System32/udial.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe"
      O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
      O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: HPAiODevice(hp officejet k series) - 1.lnk = C:\Archivos de programa\Hewlett-Packard\AiO\hp officejet k series\Bin\hpoorn07.exe
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
      O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
      O9 - Extra button: Barra de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\WINDOWS\System32\shdocvw.dll
      O10 - Unknown file in Winsock LSP: c:\archivos de programa\ashampoo\ashampoo firewall\spi.dll
      O10 - Unknown file in Winsock LSP: c:\archivos de programa\ashampoo\ashampoo firewall\spi.dll
      O10 - Unknown file in Winsock LSP: c:\archivos de programa\ashampoo\ashampoo firewall\spi.dll
      O10 - Unknown file in Winsock LSP: c:\archivos de programa\ashampoo\ashampoo firewall\spi.dll
      O10 - Unknown file in Winsock LSP: c:\archivos de programa\ashampoo\ashampoo firewall\spi.dll
      O10 - Unknown file in Winsock LSP: c:\archivos de programa\ashampoo\ashampoo firewall\spi.dll
      O12 - Plugin for .spop: C:\ARCHIV~1\INTERN~1\Plugins\NPDocBox.dll
      O12 - Plugin for .swf: C:\ARCHIVOS DE PROGRAMA\EUSKALTEL\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll
      O14 - IERESET.INF: START_PAGE_URL=http://www.telefonica.net
      O15 - Trusted Zone: www.registradores.org
      O15 - Trusted Zone: http://www.scregistradores.com
      O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
      O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
      O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,90/mcinsctl.cab
      O16 - DPF: {59131903-4A33-40D5-80C2-5242DD365AB3} - http://www.swissquake.ch/chumbalum-soft/files/MS3DViewerOCX.cab
      O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
      O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,23/mcgdmgr.cab
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe


      Gracias

    2. #2
      Ex-Colaborador Avatar de GPastor
      Registrado
      mar 2005
      Ubicación
      Perú
      Mensajes
      22.965

      Re: no puedo quitar el malware win32:porndialer-bj

      Hola te doy la bienvenida al foro, no te olvides de pasar por WindowsUpdate periódicamente para tener actualizado el sistema, luego sigue estos pasos:

      1.- Descarga la herramienta HunterDialer y descomprímela en el escritorio de Windows, pero no la ejecutes aún.

      2.- Apaga el "Restaurar Sistema"

      3.- Activa la opción Ver Archivos Ocultos

      4.- Reinicia en Modo a Prueba de Fallos

      5.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm

      O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\erdienge.dll",setvm

      O4 - HKLM\..\Run: [UDial] C:\WINDOWS\System32/udial.exe

      6.- Sin reiniciar, busca y elimina estos archivos, si aún los encuentras. Si no se dejan eliminar descarga el programa FileASSASIN y sigue las indicaciones del mensaje, para eliminar estos archivos:

      C:\WINDOWS\SYSTEM\blank.htm

      C:\WINDOWS\System32\erdienge.dll

      C:\WINDOWS\System32/udial.exe

      C:\WINDOWS\TEMP\<--Elimina todo el contenido de esta carpeta

      7.- Ejecuta la herramienta HunterDialer y sigue las instrucciones del programa.

      8.- Pasa el Disk Cleaner para limpiar cookies y temporales

      9.- Pasa el Regseeker para Limpiar el Registro, pásalo hasta q no quede nada para eliminar.

      10.- Pasa el Ad-Aware SE actualizado e instala SpywareBlaster

      11.- Reinicia la máquina y realiza un escaneo con Panda Online, luego pega otro log de Hijackthis y nos cuentas como te fue.

      12.- Deshaz los pasos 2 y 3.

      De preferencia imprime las indicaciones para que se te haga mas facil seguirlas.

      Saludos

    3. #3
      Usuario Avatar de inigok7
      Registrado
      ene 2006
      Ubicación
      españa
      Mensajes
      6

      Re: no puedo quitar el malware win32:porndialer-bj

      Hola de nuevo. Gracias por tu respuesta pero espero que me sigas ayudando.

      He hecho todo y he eliminado las cuatro cosas que me decías.

      Le he pasado el ad-aware y no me ha detectado nada importante (solo 3 cookies sin importancia).
      Lo he escaneado on-line con el Ewido ya que con el panda me daba problemas al conectarse, y me ha detectado algunas cosas que ya las he borrado, pero el problema es que cada cierto tiempo me siguen saliendo de nuevo en la carpeta c:\windows\temp , archivos win??.tmp.exe como ántes que me lo detecta el avast.

      Te vuelvo a dejar el log:

      Logfile of HijackThis v1.99.1
      Scan saved at 11:54:38, on 23/01/2007
      Platform: Windows XP SP1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
      C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\hpoopm07.exe
      C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Archivos de programa\Ashampoo\Ashampoo FireWall\FireWall.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
      C:\Archivos de programa\Hewlett-Packard\AiO\hp officejet k series\Bin\hpoorn07.exe
      C:\ARCHIV~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
      C:\WINDOWS\System32\hpoipm07.exe
      C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
      C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
      C:\Archivos de programa\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
      C:\Archivos de programa\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
      C:\WINDOWS\system32\ntvdm.exe
      C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
      C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
      C:\Archivos de programa\Mozilla Firefox\firefox.exe
      C:\Archivos de programa\HJT\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.es/correo
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.telefonica.net
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por Telefónica Net
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
      O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
      O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINDOWS\System32\spool\DRIVERS\W32X86\hpoopm07.exe
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Archivos de programa\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
      O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: HPAiODevice(hp officejet k series) - 1.lnk = C:\Archivos de programa\Hewlett-Packard\AiO\hp officejet k series\Bin\hpoorn07.exe
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
      O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
      O9 - Extra button: Barra de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\WINDOWS\System32\shdocvw.dll
      O10 - Unknown file in Winsock LSP: c:\archivos de programa\ashampoo\ashampoo firewall\spi.dll
      O10 - Unknown file in Winsock LSP: c:\archivos de programa\ashampoo\ashampoo firewall\spi.dll
      O10 - Unknown file in Winsock LSP: c:\archivos de programa\ashampoo\ashampoo firewall\spi.dll
      O10 - Unknown file in Winsock LSP: c:\archivos de programa\ashampoo\ashampoo firewall\spi.dll
      O10 - Unknown file in Winsock LSP: c:\archivos de programa\ashampoo\ashampoo firewall\spi.dll
      O10 - Unknown file in Winsock LSP: c:\archivos de programa\ashampoo\ashampoo firewall\spi.dll
      O12 - Plugin for .spop: C:\ARCHIV~1\INTERN~1\Plugins\NPDocBox.dll
      O12 - Plugin for .swf: C:\ARCHIVOS DE PROGRAMA\EUSKALTEL\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll
      O14 - IERESET.INF: START_PAGE_URL=http://www.telefonica.net
      O15 - Trusted Zone: www.registradores.org
      O15 - Trusted Zone: http://www.scregistradores.com
      O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
      O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
      O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,90/mcinsctl.cab
      O16 - DPF: {59131903-4A33-40D5-80C2-5242DD365AB3} - http://www.swissquake.ch/chumbalum-soft/files/MS3DViewerOCX.cab
      O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
      O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,23/mcgdmgr.cab
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe


      Mucha gracias y un saludo

    4. #4
      Ex-Colaborador Avatar de GPastor
      Registrado
      mar 2005
      Ubicación
      Perú
      Mensajes
      22.965

      Re: no puedo quitar el malware win32:porndialer-bj

      El log de Hijackthis está limpio, al parecer no haz usado la herramienta HunterDialer como te sugerí, esta herramienta es importante para eliminar este tipo de infecciones, si el problema aún persiste tras utilizar esta herramienta, vamos a usar otra herramienta llamada Silent Runners (para descargar este, haz clic con el botón derecho y selecciona guardar como).
      Guárdalo en una carpeta y para ejecutarlo, simplemente haz doble clic sobre el, espera un poco y aparecerá una ventana del block de Notas con el reporte y lo pegas en este mensaje.

      Saludos