Problemas con WebDialer

SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc > Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware

<< < (5/8) > >>

talgo:
Hola FatsGordon, unos comentarios previos:

No encontrados y por lo tanto no se pueden copiar a la carpeta BASURA los siguientes archivos:

C:\ARCHIV~1\CLOSEB~1\Daleabout.exe
c:\docume~1\toni\datosd~1\service.exe
C:\WINDOWS\System32\system.exe

El archivo Dalabout.exe no esta, No aparece no con el buscador.

El service.exe no es ta en esa carpeta, el buscador pone: service - service.exe - Process Information y esta en la carpeta liutilities ('www.liutilities.com)

El system.exe, el buscador de windows lo encuentra en C:\Documents and Setting\All Users\Datos de programa\Spybot - Search&Destroy\Recover\HeltzLittleSpy.zip

------------------------------------------------------------------------------

La entrada 04 - HKLM\..\Run:[messengerPlus] "C:\Archivos de programa\Messenger Plus!3MsgPlus.exe" no la encontre por lo que no fue marcada.

Una vez reiniciado en modo a prueba de fallos busco los archivos para borrarlos y no encuentro los siguientes:

C:\WINDOWS\System32\opm.dll
C:\ARCHIV~1\CLOSEB~1\Daleabout.exe
c:\docume~1\toni\datosd~1\service.exe
C:\WINDOWS\Sustem32\system.exe

por lo que no son borrados.

----------------------------------------------------------

El log del HT despues de reiniciar el ordenador es el siguiente:

Logfile of HijackThis v1.97.7
Scan saved at 3:13:46, on 10/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE
C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe
C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe
C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe
C:\ARCHIV~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Trend Micro\Internet Security\Tmntsrv.exe
C:\Archivos de programa\Trend Micro\Internet Security\tmproxy.exe
C:\Archivos de programa\Trend Micro\Internet Security\PccPfw.exe
C:\hijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\eiiibaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C81B3D98-CAD3-4D2E-AABA-00B4F2595918} - C:\WINDOWS\System32\eiiibaa.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [CamMonitor] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Archivos de programa\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Archivos de programa\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Archivos de programa\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [Ad-aware] "C:\Archivos de programa\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [TrojanScanner] C:\Archivos de programa\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Kit Ya.com ADSL] E:\Instalar.EXE
O4 - HKCU\..\Run: [LDM] C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ulead Photo Express Verificador de Calendario.lnk = C:\Archivos de programa\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2e529727a6ef04/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C66DBA4C-FCAA-4953-B7F6-5ABFEC9AD6CF}: NameServer = 62.151.2.8,62.151.8.100

Saludos

FatsGordon:

--- Cita de: talgo ---No encontrados y por lo tanto no se pueden copiar a la carpeta BASURA los siguientes archivos:

C:\ARCHIV~1\CLOSEB~1\Daleabout.exe
c:\docume~1\toni\datosd~1\service.exe
C:\WINDOWS\System32\system.exe

El archivo Dalabout.exe no esta, No aparece no con el buscador.

El service.exe no es ta en esa carpeta, el buscador pone: service - service.exe - Process Information y esta en la carpeta liutilities ('www.liutilities.com)

El system.exe, el buscador de windows lo encuentra en C:\Documents and Setting\All Users\Datos de programa\Spybot - Search&Destroy\Recover\HeltzLittleSpy.zip
--- Fin de la cita ---

No importa, ya no están, evidentemente. El service.exe es un archivo malware, parece de sistema pero no lo es. El system.exe probablemente te lo haya eliminado el SpyBot y lo que quedó lo eliminamos con el HijackThis (la llamada).

--- Cita de: talgo ---La entrada 04 - HKLM\..\Run:[messengerPlus] "C:\Archivos de programa\Messenger Plus!3MsgPlus.exe" no la encontre por lo que no fue marcada.
--- Fin de la cita ---

Si desinstalaste el MessengerPlus, es lógico que no la encuentres.

--- Cita de: talgo ---Una vez reiniciado en modo a prueba de fallos busco los archivos para borrarlos y no encuentro los siguientes:

C:\WINDOWS\System32\opm.dll
C:\ARCHIV~1\CLOSEB~1\Daleabout.exe
c:\docume~1\toni\datosd~1\service.exe
C:\WINDOWS\Sustem32\system.exe

por lo que no son borrados.
--- Fin de la cita ---

Ok.

Lo que queda ahora, luego de limpiar (por eso fue útil limpiar primero), es el CWS about:blank. Como te dije, parte de lo que eliminamos volvió... :)

Para limpiarlo empecemos por saber quién es el que provoca esto.

Seguí mis instrucciones:

Bajate 'Dllfix.exe' de:
http://tools.zerosrealm.com/dllfix.exe

Es un archivo autoextraíble; hacé doble click en él.

Abrí la carpeta DLLFIX y hacé doble click en Start.bat.

En el menú principal presioná '1' (Run Find-All by FreeAtLast) y enter.
Dejá que el programa corra.
Cuando termine, presioná 'E' para salir.

Abrí la carpeta DLLFix.

1. Publicá los contenidos de Output.txt.
2. Publicá también los contenidos de Windows.txt.

talgo:
Hola esto es lo que pone en el Output.txt

--==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==--
--==***@@@ ORIGINAL BY FREEATLAST @@@***==--

10/06/2004
16:40

System Info:

Microsoft Windows XP [Versi¢n 5.1.2600]
C: "" (68C6:21AA) - FS:NTFS clusters:4k
Total: 80 015 491 072 [75G] - Free: 37 668 724 736 [35G]

*IE version and Service packs:
6.0.2800.1106 C:\Archivos de programa\Internet Explorer\Iexplore.exe
*Notepad version :
5.1.2600.0 C:\WINDOWS\system32\notepad.exe
5.1.2600.0 C:\WINDOWS\notepad.exe
*Media Player version :
9.0.0.2980 C:\Archivos de programa\Windows Media Player\wmplayer.exe

! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MinorVersion   REG_SZ   ;SP1;Q818529;Q330994;Q822925;

Locked or 'Suspect' file(s) found...

Scanning for main Hijacker:
File found was C:\WINDOWS\System32\EIIIBAA.DLL
Md5 tested As 4E24A18F3A557AF479219E47E27B8B59

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}]
@="NAV Helper"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C81B3D98-CAD3-4D2E-AABA-00B4F2595918}]

REGEDIT4

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]
"CLSID"="{23D0A32D-9B66-4807-B37C-BAD2C2D676B6}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]
"CLSID"="{23D0A32D-9B66-4807-B37C-BAD2C2D676B6}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"

! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_Dlls   REG_SZ

*Security settings for 'Windows' key:

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(NI) ALLOW Read     BUILTIN\Usuarios
(IO) ALLOW Read     BUILTIN\Usuarios
(NI) ALLOW Read     BUILTIN\Usuarios avanzados
(IO) ALLOW Read     BUILTIN\Usuarios avanzados
(NI) ALLOW Full access    BUILTIN\Administradores
(IO) ALLOW Full access    BUILTIN\Administradores
(NI) ALLOW Full access    NT AUTHORITY\SYSTEM
(IO) ALLOW Full access    NT AUTHORITY\SYSTEM
(NI) ALLOW Full access    BUILTIN\Administradores
(IO) ALLOW Full access    CREATOR OWNER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read     BUILTIN\Usuarios
Read     BUILTIN\Usuarios avanzados
Full access    BUILTIN\Administradores
Full access    NT AUTHORITY\SYSTEM

Saludos

talgo:
Y este es de Winwows.txt

regf Pugf hbin ¨ÿÿÿnk, †<×LGÄ ÿÿÿÿ ÿÿÿÿÿÿÿÿ @ x ÿÿÿÿ 0 @ T Windows Èþÿÿsk x x ” ì
!
€ ! #
€ # ?
?
?
Øÿÿÿvk @ Ø fùAppInit_DLLsÖæG¸ÿÿÿC : \ W I N D O W S \ S y s t e m 3 2 \ s q l e n k d . d l l p p ° Ðÿÿÿvk X ÀUDeviceNotSelectedTimeoutðÿÿÿ1 5 o£Þ—ðÿÿÿ9 0 HZ Ðÿÿÿvk €' GDIProcessHandleQuota,2àÿÿÿvk È Spoolerwðÿÿÿy e s éÔ=p ° ( x ¨ ð àÿÿÿvk € . swapdiskÐÿÿÿvk h J TransmissionRetryTimeoutàÿÿÿ° ( x ¨ ð ` Ðÿÿÿvk €' , USERProcessHandleQuota, p

Saludos

FatsGordon:
Ok, ya la tenemos a la vista. Se trata del archivo sqlenkd.dll

Tal vez si lo buscás (no te pido que lo hagas) no lo encuentres. Vamos a seguir la "receta" al pie de la letra, a ver si podemos eliminarlo.

Ahora hacé lo siguiente:

Abrí la carpeta DLLFIX y hacé doble click en Start.bat.
En el menú principal poné '2' (Run Fix) y apretá Enter.

En el segundo menú apretá '1' (Enter DLL Name Manually) y Enter.

En el prompt ingresá: sqlenkd.dll y apretá Enter.

El sistema reiniciará sólo en 15 segundos y comenzará la cura.

Cuando termine habrá un archivo llamado log.txt en la carpeta DLLFIX. Publicá el contenido de ese archivo.

Navegación

[0] Índice de Mensajes

[#] Página Siguiente

[*] Página Anterior

Ir a la versión completa