no puedo quitar el malware win32:porndialer-bj

**inigok7** · 22/01/07, 11:01:25

El otro día me bajé lo que pensaba que era un serial y me ha entrado este malware. El avast me lo detecta y me dice que es el win32:porndialer-BJ.
Suele estar en c:\windows\temp\win??.tmp.exe (?=letras y/o números al azar)
Lo borro pero al cabo de un rato vuelvo a salirme lo mismo. Lo curioso es que le he pasado el Ad-Aware SE Personal, el Spybot - Search & Destroy y el avast y no detectan nada.
Os dejo el log:

Logfile of HijackThis v1.99.1
Scan saved at 16:54:34, on 22/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\hpoopm07.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Ashampoo\Ashampoo FireWall\FireWall.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe
C:\Archivos de programa\Hewlett-Packard\AiO\hp officejet k series\Bin\hpoorn07.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\ARCHIV~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Archivos de programa\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\TEMP\win1B.tmp.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.es/correo
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.telefonica.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por Telefónica Net
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINDOWS\System32\spool\DRIVERS\W32X86\hpoopm07.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Archivos de programa\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\erdienge.dll",setvm
O4 - HKLM\..\Run: [UDial] C:\WINDOWS\System32/udial.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HPAiODevice(hp officejet k series) - 1.lnk = C:\Archivos de programa\Hewlett-Packard\AiO\hp officejet k series\Bin\hpoorn07.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Barra de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\WINDOWS\System32\shdocvw.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\ashampoo\ashampoo firewall\spi.dll
O12 - Plugin for .spop: C:\ARCHIV~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .swf: C:\ARCHIVOS DE PROGRAMA\EUSKALTEL\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.telefonica.net
O15 - Trusted Zone: www.registradores.org
O15 - Trusted Zone: http://www.scregistradores.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,90/mcinsctl.cab
O16 - DPF: {59131903-4A33-40D5-80C2-5242DD365AB3} - http://www.swissquake.ch/chumbalum-soft/files/MS3DViewerOCX.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,23/mcgdmgr.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

Gracias

**GPastor** · 22/01/07, 15:12:01

Hola te doy la bienvenida al foro, no te olvides de pasar por WindowsUpdate periódicamente para tener actualizado el sistema, luego sigue estos pasos:

1.- Descarga la herramienta HunterDialer y descomprímela en el escritorio de Windows, pero no la ejecutes aún.

2.- Apaga el "Restaurar Sistema"

3.- Activa la opción Ver Archivos Ocultos

4.- Reinicia en Modo a Prueba de Fallos

5.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm

O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\erdienge.dll",setvm

O4 - HKLM\..\Run: [UDial] C:\WINDOWS\System32/udial.exe

6.- Sin reiniciar, busca y elimina estos archivos, si aún los encuentras. Si no se dejan eliminar descarga el programa FileASSASIN y sigue las indicaciones del mensaje, para eliminar estos archivos:

C:\WINDOWS\SYSTEM\blank.htm

C:\WINDOWS\System32\erdienge.dll

C:\WINDOWS\System32/udial.exe

C:\WINDOWS\TEMP\<--Elimina todo el contenido de esta carpeta

7.- Ejecuta la herramienta HunterDialer y sigue las instrucciones del programa.

8.- Pasa el Disk Cleaner para limpiar cookies y temporales

9.- Pasa el Regseeker para Limpiar el Registro, pásalo hasta q no quede nada para eliminar.

10.- Pasa el Ad-Aware SE actualizado e instala SpywareBlaster

11.- Reinicia la máquina y realiza un escaneo con Panda Online, luego pega otro log de Hijackthis y nos cuentas como te fue.

12.- Deshaz los pasos 2 y 3.

De preferencia imprime las indicaciones para que se te haga mas facil seguirlas.

Saludos

**inigok7** · 23/01/07, 05:55:53

Hola de nuevo. Gracias por tu respuesta pero espero que me sigas ayudando.

He hecho todo y he eliminado las cuatro cosas que me decías.

Le he pasado el ad-aware y no me ha detectado nada importante (solo 3 cookies sin importancia).
Lo he escaneado on-line con el Ewido ya que con el panda me daba problemas al conectarse, y me ha detectado algunas cosas que ya las he borrado, pero el problema es que cada cierto tiempo me siguen saliendo de nuevo en la carpeta c:\windows\temp , archivos win??.tmp.exe como ántes que me lo detecta el avast.

Te vuelvo a dejar el log:

Logfile of HijackThis v1.99.1
Scan saved at 11:54:38, on 23/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\hpoopm07.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Ashampoo\Ashampoo FireWall\FireWall.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\Archivos de programa\Hewlett-Packard\AiO\hp officejet k series\Bin\hpoorn07.exe
C:\ARCHIV~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Archivos de programa\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.es/correo
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.telefonica.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por Telefónica Net
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINDOWS\System32\spool\DRIVERS\W32X86\hpoopm07.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Archivos de programa\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HPAiODevice(hp officejet k series) - 1.lnk = C:\Archivos de programa\Hewlett-Packard\AiO\hp officejet k series\Bin\hpoorn07.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Barra de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\WINDOWS\System32\shdocvw.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\ashampoo\ashampoo firewall\spi.dll
O12 - Plugin for .spop: C:\ARCHIV~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .swf: C:\ARCHIVOS DE PROGRAMA\EUSKALTEL\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.telefonica.net
O15 - Trusted Zone: www.registradores.org
O15 - Trusted Zone: http://www.scregistradores.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,90/mcinsctl.cab
O16 - DPF: {59131903-4A33-40D5-80C2-5242DD365AB3} - http://www.swissquake.ch/chumbalum-soft/files/MS3DViewerOCX.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,23/mcgdmgr.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

Mucha gracias y un saludo

**GPastor** · 24/01/07, 10:55:03

El log de Hijackthis está limpio, al parecer no haz usado la herramienta HunterDialer como te sugerí, esta herramienta es importante para eliminar este tipo de infecciones, si el problema aún persiste tras utilizar esta herramienta, vamos a usar otra herramienta llamada Silent Runners (para descargar este, haz clic con el botón derecho y selecciona guardar como).
Guárdalo en una carpeta y para ejecutarlo, simplemente haz doble clic sobre el, espera un poco y aparecerá una ventana del block de Notas con el reporte y lo pegas en este mensaje.

Saludos

no puedo quitar el malware win32:porndialer-bj

Herramientas

no puedo quitar el malware win32:porndialer-bj

Re: no puedo quitar el malware win32:porndialer-bj

Re: no puedo quitar el malware win32:porndialer-bj

Re: no puedo quitar el malware win32:porndialer-bj