SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc > Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware
Problemas con WebDialer
FatsGordon:
--- Cita de: talgo ---Entiendo que al estar desconectado parte de lo que me comentas:
--- Citar ---Si es este tu caso, por favor bajate el Shoot The Messenger de http://grc.com/stm/shootthemessenger.htm. Asimismo bajate el DCOMbobulator de http://grc.com/dcom/ y el Unplug 'n Pray de http://grc.com/unpnp/unpnp.htm. Correlos los tres de modo tal que desactiven los respectivos servicios.
--- Fin de la cita ---
no tengo que hacerlo.
--- Fin de la cita ---
Primero, trata de no poner URLs "vivos", porque cualquier tonto podría entrar y contagiarse de algo. Ya lo corregí.
Segundo, no importa si ya tenés desactivados o no los servicios. Bajalos igual porque son programas chiquititos y te sacan de cualquier duda.
Esperamos la info de los virus y el nuevo log.
talgo:
Hola, he hecho lo queme decias y de los tres primeros enlaces el primero y el tercero no se abren, me dicen pagina no encontrada.
De los antivirus el tTrend Micro cuando le doy a escanear me cierra todas la ventans de internet, lo he probado varias veces.
Puede ser porque lo tengo instalado???
el norton me haborrado algo y no me he acrdoado de copiarlo pero del panda si:
Incident Status Location
Virus:Trj/Bespy.A Disinfected Operating system
Virus:Trj/Downloader.GK No disinfected C:\Documents and Settings\Toni\Configuración local\Temp\THI278.tmp\twaintec.cab[polall1t.exe]
Virus:Trj/Downloader.EC Disinfected C:\Documents and Settings\Toni\Escritorio\Norton LiveUpdate Subscription enhancer_Until.29.12.2029.zip[start.exe]
Virus:Trj/Downloader.EC Disinfected C:\Documents and Settings\Toni\Escritorio\start.exe
Virus:Trj/Runet.A Disinfected C:\WINDOWS\homepage.htm
Virus:Trj/Runet.A Disinfected C:\WINDOWS\odbs.log
Y el del RAV Antivirus:
Scan started at 09/06/2004 0:22:10
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\mailtool.dll - Win32/NewMalware.gen! -> Suspicious
C:\Documents and Settings\Toni\Configuración local\Temp\alchem.cab->alchem.exe - TrojanDownloader:Win32/Alchemic.A -> Infected
C:\Documents and Settings\Toni\Configuración local\Temp\msx.exe->(UPXW) - Tool:PornDialer.gen! -> Infected
C:\Documents and Settings\Toni\Configuración local\Temp\THI278.tmp\twaintec.cab->twaintec.dll - Trojan:Win32/Spy.BiSpy.C -> Infected
C:\Documents and Settings\Toni\Mis documentos\Mis archivos recibidos\IRcap75.eXe->(UPXW)->(RARSfx)->s\Trivial\ircaptrivial.mrc - IRC/Generic* -> Suspicious
C:\Documents and Settings\Toni\Mis documentos\Mis archivos recibidos\IRcap75.eXe->(UPXW)->(RARSfx)->s\sockets.mrc - IRC/Generic* -> Suspicious
C:\Documents and Settings\Toni\Mis documentos\Mis archivos recibidos\IRcap75.eXe->(RARSfx)->s\Trivial\ircaptrivial.mrc - IRC/Generic* -> Suspicious
C:\Documents and Settings\Toni\Mis documentos\Mis archivos recibidos\IRcap75.eXe->(RARSfx)->s\sockets.mrc - IRC/Generic* -> Suspicious
C:\WINDOWS\system32\d2kndr.exe - Tool:PornDialer.HQ -> Infected
C:\WINDOWS\system32\config\systemprofile\Configuración local\Archivos temporales de Internet\Content.IE5\U81JN2PH\m[1].bin - Trojan:Win32/StartPage.GV.dam#2 -> Infected
Scanned
============================
Objects: 54510
Directories: 4522
Archives: 1479
Size(Kb): 834083
Infected files: 5
Found
============================
Viruses found: 5
Suspicious files: 5
Disinfected files: 0
Mail files: 121
Por cierto de este ultimo no encuentro la opcion de borrar los archivos y no los puedo borrar.
Ahora reiniciare y pasare el Hijack y os pondre el resultado.
Saludos
talgo:
Logfile of HijackThis v1.97.7
Scan saved at 2:54:32, on 09/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE
C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe
C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe
C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe
C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe
C:\ARCHIV~1\NORTON~1\navapw32.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Trend Micro\Internet Security\Tmntsrv.exe
C:\Archivos de programa\Trend Micro\Internet Security\tmproxy.exe
C:\Archivos de programa\Trend Micro\Internet Security\PccPfw.exe
C:\Documents and Settings\Toni\Escritorio\HijackThis.exe
C:\Archivos de programa\Logitech\ImageStudio\LowLight.exe
C:\Archivos de programa\Symantec\LiveUpdate\AUpdate.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
O2 - BHO: (no name) - {21831F49-AD0B-4853-B645-A59CFB5B7EE3} - C:\WINDOWS\System32\opm.dll
O2 - BHO: (no name) - {98DBBF16-CA43-4c33-BE80-99E6694468A4} - C:\WINDOWS\System32\msmk.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [CamMonitor] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Archivos de programa\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKLM\..\Run: [SizeWma] C:\ARCHIV~1\CLOSEB~1\Daleabout.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [Ad-aware] "C:\Archivos de programa\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [TrojanScanner] C:\Archivos de programa\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Kit Ya.com ADSL] E:\Instalar.EXE
O4 - HKCU\..\Run: [System Update4] c:\docume~1\toni\datosd~1\service.exe
O4 - HKCU\..\Run: [LDM] C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [ssgrate.exe] C:\WINDOWS\System32\system.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ulead Photo Express Verificador de Calendario.lnk = C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O15 - Trusted Zone: http://*.nuker.com
O15 - Trusted Zone: http://*.spywarenuker.com
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2e529727a6ef04/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C66DBA4C-FCAA-4953-B7F6-5ABFEC9AD6CF}: NameServer = 62.151.2.8,62.151.8.100
Esto es lo que da una vez reiniciado.
Saludos
FatsGordon:
--- Cita de: talgo ---Hola, he hecho lo queme decias y de los tres primeros enlaces el primero y el tercero no se abren, me dicen pagina no encontrada.
--- Fin de la cita ---
Porque tienen un punto al final (equivocado). Ya corregí los enlaces, probá de nuevo.
FatsGordon:
Ahora seguí mis pasos. Es ALTAMENTE probable que parte de lo que hagamos ahora vuelva a aparecer. NO IMPORTA. Lo que quiero es asegurarme de eliminar algunas cosas antes de continuar.
Primero poné el HijackThis dentro de una carpeta propia. NO LO DEJES EN EL ESCRITORIO!!!
Luego desinstalá el MessengerPlus3.
Luego:
Copiá los siguientes archivos a una carpeta en tu escritorio, llamada Basura (para ver todos los archivos seguí las instrucciones en http://www.daboweb.com/phpBB2/viewtopic.php?p=52716#52716 ):
C:\WINDOWS\System32\opm.dll
C:\WINDOWS\System32\msmk.dll
C:\ARCHIV~1\CLOSEB~1\Daleabout.exe
c:\docume~1\toni\datosd~1\service.exe
C:\WINDOWS\System32\system.exe
Después:
Cerrá TODOS los programas. Esto INCLUYE las ventanas del navegador. Abrí el HijackThis y poné una marca en SOLAMENTE los siguientes ítemes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\opm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
O2 - BHO: (no name) - {21831F49-AD0B-4853-B645-A59CFB5B7EE3} - C:\WINDOWS\System32\opm.dll
O2 - BHO: (no name) - {98DBBF16-CA43-4c33-BE80-99E6694468A4} - C:\WINDOWS\System32\msmk.dll
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SizeWma] C:\ARCHIV~1\CLOSEB~1\Daleabout.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [System Update4] c:\docume~1\toni\datosd~1\service.exe
O4 - HKCU\..\Run: [ssgrate.exe] C:\WINDOWS\System32\system.exe
O15 - Trusted Zone: http://*.nuker.com
O15 - Trusted Zone: http://*.spywarenuker.com
Luego apretá Fix checked, cerrá el HijackThis y reiniciá la máquina en modo a prueba de fallos (apretando F8 cuando reinicia).
Una vez en modo A prueba de fallos buscá los siguientes archivos y eliminalos:
C:\WINDOWS\System32\opm.dll
C:\WINDOWS\System32\msmk.dll
C:\ARCHIV~1\CLOSEB~1\Daleabout.exe
c:\docume~1\toni\datosd~1\service.exe
C:\WINDOWS\System32\system.exe
También eliminá la carpeta CLOSEB~1\. NO BORRES LA CARPETA Basura NI SU CONTENIDO.
Luego reiniciá normalmente y publicá un nuevo log de HT. La máquina todavía no está limpia, seguís teniendo el CWS, pero en el siguiente paso lo vamos a desenmascarar (eso espero...)
Navegación
[#] Página Siguiente
[*] Página Anterior
Ir a la versión completa