Ayuda con un troyano italiano. ¡¡Estoy desesperado!!

josemauricio · #1 (**permalink**) 10/10/2006, 15:58

Hola:

Tengo desde hace tres días un dialer italiano que resiste todo lo que he probado. Es un dialer que abre archivos porno "idd.tmp.exe" y "winX.tmp.exe" en la carpeta Windows/Temp y coloca un dialer en el menú de acceso telefónico. Se salta antivirus, antiespías, cortafuegos y la misma acción de eliminarlos, ya que se reactiva al iniciar Internet Explorer. No pasa nada si se usa Netscape u Outlook, por ejemplo.

Como yo no tengo MODEM sino, router, el mensaje que me aparece constantemente es: “Non ho trovato nessun MODEM per la connessione”.

Al autoejecutarse, se renombra a sí mismo con variantes. Asi que al cabo de un rato tengo un montón de archivos iddXXX.tmp. Las XXX son variables al azar.

He buscado la solución en buscadores, y he encontrado algo en..
(el foro no me permite poner enlaces)

Pero hay que bajarse una utilidad que se llama Hunter Dialer, que te puedes bajar de esa página si te registras. He intentado registrarme mil veces, y me da algún tipo de error. Total que no puedo bajarme el dichoso archivo. Lo he buscado es otros sitios y nada, ni en el emule está.

¿Cómo es posible que este archivo solo se encuentre en esta página?, no lo entiendo.

Tambien he seguido estos pasos, pero nada:

Tu log no muestra al dialer, sin embargo, sigue estos pasos

Descarga las siguientes herramientas:

Killbox
Regseeker
Disk Cleaner

Paso 1:
Apaga restaurar sistema

Configura el sistema para ver todos los archivos ocultos

Ve al Panel de Control > Agregar o Quitar Programas > Desinstala los siguientes programas si se encuentran:
P2P Networking

Paso 2:

Ejecuta el hijackthis sin tener ningún otro programa abierto, marca y dale FixChecked a las siguientes
entradas:

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\system32\sfg_0366.dll"
O4 - HKCU\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\system32\sfg_0366.dll"

O8 - Extra context menu item: &Search - xxxx://kv.bar.need2find.com/KV/menusearch.html?p=KV

Paso 3:
Reinicia el sistema en modo a prueba de fallos (modo seguro)

Copia y pega las siguientes entradas en el Killbox (una a la vez) donde dice "Full Path of File to Delete" y le das click al boton rojo con cruz blanca del programa para eliminar el archivo:

C:\WINDOWS\system32\P2P Networking\P2P Networking.exe

C:\WINDOWS\system32\sfg_0366.dll

Elimina también la carpeta que te dejé allí remarcada en rojo

Limpia los temporales y cookies con el Disk Cleaner

Limpia el registro de windows con el Regseeker (pásalo varias veces hasta que no quede nada por limpiar)

Paso 4:

Reincia el sistema en modo normal

Haz un chequeo con los antivirus online Kaspersky y Ewido

Nos comentas como te fue y dejas un nuevo log para ver como quedó

Salu2--------------------------------------------------------------------------

Estoy desesperado.

¿Alguien me puede ayudar, por favor??.

Gracias,
josemauricio

VICTOR BERTOLA · #2 (**permalink**) 10/10/2006, 17:02

Si Tienes Xp Proba Restablecerlo A Varios Dias Posteriores Generalmente Queda Desinstalado

josemauricio · #3 (**permalink**) 10/10/2006, 17:06

Gracias Victor.

Tengo XP, pero hace mucho que no guardo, y me quedaria sin muchos programas que tengo instalados.

No sé hasta que punto seria buena solución.

Gpastor · #4 (**permalink**) 11/10/2006, 14:42

Hola josemauricio, el HunterDialer es una herramienta creada por Forospyware, por eso es el único lugar donde lo encontrarás y como comprenderás para su descarga debes estar registrado en el foro.

¿Qué problemas tienes al registrarte? ¿te aparece algún mensaje de error? acabo de revisar el registro de usuarios y todo anda normal, te recomiendo que intentes nuevamente registrarte y seguir los pasos del tutorial para Eliminar Dialer Italiano.

Saludos

josemauricio · #5 (**permalink**) 11/10/2006, 15:45

Gracias gpastor, lo voy a intentar otra vez

Gracias por todo.

josemauricio · #6 (**permalink**) 11/10/2006, 15:47

Hola a todos.

He escaneado mi equipo con AVG Anti-Spyware 7.5, y me ha detectado esto (muchas cosas más, pero ya las eliminé):

Dialer.Small -> riesgo alto
Trojan.BHO.g -> riesgo alto

¿Aguien sabe como limpiar esto?

Muchas gracias a todo el foro.
josemauricio

Gpastor · #7 (**permalink**) 11/10/2006, 16:16

Hola nuevamente josemauricio, pega el reporte completo de AVG Antispyware para saber en que ubicación está encontrando la infección.

Saludos

josemauricio · #8 (**permalink**) 12/10/2006, 04:53

Gracias nuevamente gpastor.

Te adjunto el reporte completo de AVG:

AVG Anti-Spyware - Informe del análisis
---------------------------------------------------------

+ Creado en: 12:46:39 12/10/2006

+ Resultado del análisis:

C:\Archivos de programa\Archivos comunes\{338ED217-0707-3082-0829-050422050022}\MyToolBar.dll -> Adware.Softomate : Omitidos.
C:\Archivos de programa\Archivos comunes\{438ED217-0707-3082-0829-050422050022}\Update.exe -> Adware.Softomate : Omitidos.
C:\Archivos de programa\Archivos comunes\{438ED217-0707-3082-0829-050422050022}\services.dll -> Adware.Softomate : Omitidos.
C:\WINDOWS\Temp\iddB.tmp.exe -> Dialer.Small : Limpios con copia de seguridad (en cuarentena).
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de Internet\Content.IE5\0H0ZWFC3\antzom[1].exe -> Trojan.Agent.vg : Limpios con copia de seguridad (en cuarentena).

::Fin del informe

Ya no sé que más hacer para eliminarlos.

Gpastor · #9 (**permalink**) 12/10/2006, 10:02

Lo primero que debes intentar es reiniciar en Modo Seguro y eliminar manualmente los archivos mencionados arriba, sino se dejan eliminar puedes usar el "Killbox" .

Tras eliminarlos manualmente y aún en Modo Seguro realiza un escaneo con AVG Antispyware y verifica si aún persiste el problema.

De persistir el problema pasa el Hijackthis y pega tu log en este mismo mensaje para su analisis.

Saludos

josemauricio · #10 (**permalink**) 12/10/2006, 10:30

Hola gpastor.

me queda esto por eliminar, y se me resiste, no sé como hacerlo.

No sabes, como estoy, con quee nervios. Llevo dos días sin salir.

Pero creo que ya está todo limpio. Pues he entrado y buscado el archivo:
C:\Documents and Settings\Usuario\Cookies\usuario@tradedoubler[2].txt

Y no existe.

Creo que ya puedo dejar el ordenador por desinfectado.

Gracias por todo. Te doy mil gracias por todo. Gracias a la ayuda de gente como tú vamos tirando los demás.
Un saludo,
josemauricio

---------------------------------------------------------
AVG Anti-Spyware - Informe del análisis
---------------------------------------------------------

+ Creado en: 18:12:47 12/10/2006

+ Resultado del análisis:

C:\Documents and Settings\Usuario\Cookies\usuario@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Limpios.

::Fin del informe

josemauricio · #11 (**permalink**) 12/10/2006, 10:57

No, no está eliminado este último. Me sigue apareciendo un pantalla de vez en cuando.
Con el dialer, si que he podido.

¿Que hago con este?

Gpastor · #12 (**permalink**) 12/10/2006, 12:01

Cita:

Me sigue apareciendo un pantalla de vez en cuando.

¿Qué pantalla te aparece? ¿qué mensaje sale?

Las cookies las puedes eliminar desde las opciones de tu navegador o en todo caso con programas como el Disk Cleaner

Saludos

josemauricio · #13 (**permalink**) 12/10/2006, 13:02

Aparece una ventana emergente cuadradita en el centro de la pantalla tipo windows con el titulo: Spyware Removal Wizar.

En la parte izquierda hay una especie de escudo. Y en la parte central derecha se lee en negrita: Warning: you computer may be infected with malicious spyware, adware or trojan objects.

Y en texto normal una serie de indicaciones.

Y abajo de todo: next o cancel

Yo le daba siempre a cancel, pero me tenia desesperado y le di a next a ver que hacia. ¿Y qué hace?. Te baja un progama tipo AVG, y te muestra las infecciones. Le das a limpiar y se abre el explorer, te lleva a su pg principal para pages no se cuantos euros para limpiarte el ordenador.

¿Que te parece?, tu crees que hay derecho a eso?, que la misma infeccion te lleva a una pagina para quitar la infección pagando.

Esto es de denuncia.

¿Que hago?

Gpastor · #14 (**permalink**) 12/10/2006, 15:01

Bueno mi amigo esos son síntomas de una infección de PSGuard, para poder eliminarlo debes seguir estos pasos:

- Descarga la herramienta DelPSGuard.zip y ejecútala en Modo a Prueba de Fallos

- Pasa el Disk Cleaner para limpiar cookies y temporales y el Regseeker para Limpiar el Registro, pásalo hasta q no quede nada para eliminar.

- Reinicia la maquina y realiza un escaneo con Panda Online, luego pega un log de Hijackthis como ya te comenté en una de mis posts y nos cuentas como te fue.

Saludos

josemauricio · #15 (**permalink**) 12/10/2006, 17:01

Hola nuevamente gpastor. Te estoy dando trabajo eh!, lo siento.

He hecho lo que me indicabas tal como me indicabas. Pero no me ha resultado porque ha vuelto a salir la ventana.

Te adjunto dos log, uno de DelPSGuard y el otro de HijackThis.
El log de DelPSGuard me dio muchas esperanzas pero la ventana volvio a salir cuando reinicie.

si ves algo como tres x así xxx, las he puesto yo. no me está permitido poner enlaces hacia otras páginas

Gracias por todo. A ver como seguimos con esto.

DelPSGuard v 4.1.9
by xxx . ForoSpyware . com
Escaneo a las: 0:25:58,92, 13/10/2006
SO: Microsoft Windows XP [Versi¢n 5.1.2600]

»»»»»»»»»»»» Carpetas y Archivos infectados »»»»»»»»»»»»

\.protected ...: ! Eliminado ! :...

»»»»»»»»»»»» Programas Malwares »»»»»»»»»»»»

»»»»»»»»»»»» FIN »»»»»»»»»»»»

--------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 0:45:57, on 13/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Archivos comunes\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe
C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Archivos comunes\DriveCleaner 2006 Free\udcsdr.exe
C:\Archivos de programa\Archivos comunes\DriveCleaner 2006 Free\udcpas.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
d:\Mis documentos\Provisional\HijackThis_1.99.1\HijackThi s_1.99.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hhhh ://xxx .forospyware. com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: LEC - {4A241D35-F7EB-401b-8C5B-A904A50F280E} - C:\Archivos de programa\Power Translator\Applications\LEC IE Translation Extension.dll
O2 - BHO: (no name) - {55EF90DD-5337-4C60-961A-B48076D411E7} - C:\WINDOWS\system32\jkhhf.dll
O2 - BHO: (no name) - {61D75B23-E2A5-0727-63D8-044BE1E59EC8} - C:\WINDOWS\system32\acrbwi.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Archivos de programa\Power Translator\Applications\LEC IE Translation Extension.dll
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NexusServer] "C:\Archivos de programa\Archivos comunes\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe" -SelfLaunch
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI ACE.EXE" /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [PinnacleDriverCheck] "C:\WINDOWS\system32\PSDrvCheck.exe" -CheckReg
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [vvznbll.dll] "C:\WINDOWS\system32\rundll32.exe" C:\WINDOWS\system32\vvznbll.dll,tpetqwf
O4 - HKLM\..\Run: [SDR6_Check] "C:\Archivos de programa\Archivos comunes\DriveCleaner 2006 Free\udcsdr.exe"
O4 - HKLM\..\Run: [PAS_Check] "C:\Archivos de programa\Archivos comunes\DriveCleaner 2006 Free\udcpas.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: .protected
O4 - Global Startup: .protected
O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Archivos de programa\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Archivos de programa\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - hhhh :// acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: jkhhf - C:\WINDOWS\system32\jkhhf.dll
O20 - Winlogon Notify: qomlihh - qomlihh.dll (file missing)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe

Gpastor · #16 (**permalink**) 12/10/2006, 19:53

Sigue estos pasos:

1.- Descarga la herramienta VundoFix y descomprímela en el escritorio de Windows, pero no la ejecutes aún.

2.- Apaga el "Restaurar Sistema"

3.- Activa la opción Ver Archivos Ocultos

4.- Reinicia en Modo a Prueba de Fallos

5.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

O2 - BHO: (no name) - {55EF90DD-5337-4C60-961A-B48076D411E7} - C:\WINDOWS\system32\jkhhf.dll

O2 - BHO: (no name) - {61D75B23-E2A5-0727-63D8-044BE1E59EC8} - C:\WINDOWS\system32\acrbwi.dll

O4 - HKLM\..\Run: [vvznbll.dll] "C:\WINDOWS\system32\rundll32.exe" C:\WINDOWS\system32\vvznbll.dll,tpetqwf

O20 - Winlogon Notify: jkhhf - C:\WINDOWS\system32\jkhhf.dll

O20 - Winlogon Notify: qomlihh - qomlihh.dll (file missing)

6.- Sin reiniciar, busca y elimina estos archivos, si aún los encuentras, si no se dejan eliminar descarga el programa "Killbox" y sigue las indicaciones del mensaje, copia y pega los archivos para que los elimine al reiniciar.

C:\WINDOWS\system32\jkhhf.dll

C:\WINDOWS\system32\acrbwi.dll

C:\WINDOWS\system32\vvznbll.dll

qomlihh.dll

7.- Ejecuta la herramienta VundoFix siguiendo los pasos de su manual.

8.- Pasa el Disk Cleaner para limpiar cookies y temporales

9.- Pasa el Regseeker para Limpiar el Registro, pásalo hasta q no quede nada para eliminar.

10.- Pasa el AVG Antispyware e instala SpywareBlaster

11.- Reinicia la maquina y realiza un escaneo con Panda Online, luego pega otro log de Hijackthis y nos cuentas como te fue.

12.- Deshaz los pasos 2 y 3.

De preferencia imprime las indicaciones para que se te haga mas facil seguirlas.

Saludos

josemauricio · #17 (**permalink**) 13/10/2006, 05:25

Hola pastor (ya somos como amigos, no? ;) )

He hecho todo lo que me has recomendado, aunque no como tu me lo has dicho por problemas añadidos, pero bueno, lo he echo todo como he podido.

Con HijackThis no se podian eliminar todas las entradas, algunas de ellas las he eliminado pulsando pulsando "add cheched to ignorelist". Y esta que te añado, no se pudo ni ni con "add cheched to ignorelist":

O2 - BHO: (no name) - {54B27B1B-795B-4114-97A2-70E0C0FA1429} - C:\WINDOWS\system32\jkhhf.dll

Los cuatro archivos: qomlihh.dll, jkhhf.dll, acrbwi.dll y wznbll.dll no los he borrado yo, ni tampoco con killbox porque no los encontrabamos. Los ha borrado VundoFix con mucho esfuerzo, tomando el control del sistema al reiniciar para poder eliminar el jkhhf.dll que ha sido el más dificil.

Una vez que lo ha eliminado he vuelto a ejecutar HijackThis y he eliminado la entrada:

O2 - BHO: (no name) - {54B27B1B-795B-4114-97A2-70E0C0FA1429} - C:\WINDOWS\system32\jkhhf.dll

Con lo cual, las elimine todas.

Pronto escaneare el sistema con el AVG Antispyware e instalare SpywareBlaster, y luego escanearé todo con Panda Online.

Hace rato que no se me abren ventanas, ni me saltan avisos de AVG. Creo que ya está todo limpio.

Te agradezco mucho mucho mucho tu ayuda. Si puedo hacer yo algo por ti, aquí me tienes. Muchas gracias por todo.

Por lo pronto el log resultante es este:

Logfile of HijackThis v1.99.1
Scan saved at 2:16:36, on 13/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Archivos comunes\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
d:\Mis documentos\Provisional\HijackThis_1.99.1\HijackThi s_1.99.1.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [xxx. google. es]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: LEC - {4A241D35-F7EB-401b-8C5B-A904A50F280E} - C:\Archivos de programa\Power Translator\Applications\LEC IE Translation Extension.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Archivos de programa\Power Translator\Applications\LEC IE Translation Extension.dll
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NexusServer] "C:\Archivos de programa\Archivos comunes\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe" -SelfLaunch
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI ACE.EXE" /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [PinnacleDriverCheck] "C:\WINDOWS\system32\PSDrvCheck.exe" -CheckReg
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Archivos de programa\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Archivos de programa\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - [acs.pandasoftware.com]
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe

josemauricio · #18 (**permalink**) 13/10/2006, 11:13

Hola Gpastor.

Volvi a pasar el progama AVG-Anti-Espyware, y todo limpio, (bueno, solo dos cookies que elimino), instale el SpywareBlaster y luego analice el sistema con panda oline.

Y todo limpio. Creo que ya podemos dejar por terminada la limpieza de mi pc, y todo ello gracias a ti, claro.

Muchas gracias por todo.

Saludos,
josemauricio

Gpastor · #19 (**permalink**) 13/10/2006, 18:45

Muy bien, el log está limpio y si ya no mencionas problemas este problema está solucionado

Saludos

josemauricio · #20 (**permalink**) 14/10/2006, 07:59

Muchas gracias gpastor.
Creo que ya podemos dejar por cerrado el tema "Ayuda con un troyano italiano. ¡¡Estoy desesperado!!".
El sistema esta limpio y todo está normal.
Gracias por tu ayuda nuevamente.
Un abrazo,
josemauricio