spyware imposible de eliminar! (2da parte)

Creo que tengo dos trojanos (spywares o dialers) metidos en mi máquina y aunque le he pasado cuanto anti troyano, anti spyware y anti virus existe, no he logrado deshacerme de ellos.

Uno de ellos reacciona de esta forma:
Primero un pantallazo en DOS que indica que no se ha encontrado el archivo (ni idea cual es..), luego me redirige a esta página:
http://www.dialeradmin.com/cgi-bin/e...0.0000&ci=1-56

El segundo me desplega las siguientes popups:
http://img10.imgspot.com/u/05/6/01/ScreenShot001.jpg
http://img12.imgspot.com/u/05/5/18/ScreenShot003.jpg
http://img13.imgspot.com/u/05/6/01/ScreenShot004.jpg
http://img10.imgspot.com/u/05/6/01/ScreenShot008.jpg

Incluyo además el log de Hijack This!
Logfile of HijackThis v1.97.7
Scan saved at 16:54:36, on 06/01/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\pcarvajal\Mis Documentos\downloads\HJ\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = c:\winnt\system32\blank.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = c:\winnt\system32\blank.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = c:\winnt\system32\blank.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\winnt\system32\blank.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = c:\winnt\system32\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = proxy_eft2:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = https://;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: 166.110.95.199 elfos
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PWSTray] PwsTray.exe
O4 - HKLM\..\Run: [aiepk] C:\pcarvajal\Mis Documentos\Software\w2k\aiepk2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [RealPopup] "C:\Archivos de programa\RealPopup\RealPopup.exe" BOOT
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: Corel Network monitor worker (HKLM)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKLM)
O9 - Extra button: Flash (HKCU)
O9 - Extra button: Corel Network monitor worker (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKCU)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {3E410F8E-7EDC-4E91-B7A8-BFA00E3803D2} (EROL v 4.0.15) - http://www.e-rol.com/cabs/EROLProj1.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A805F68-A8E0-4073-B1A4-9EBEC88CCE0A}: Domain = finandes.cl
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A805F68-A8E0-4073-B1A4-9EBEC88CCE0A}: NameServer = 152.139.22.228,152.139.22.229

Alguien conoce alguna manera de eliminarlos definitivamente??

Primero Bajate La Version 1.99 Del Hijack This Ya Que El Que Tu Tienes Ya Es Viejo

ok, ahi va!

Logfile of HijackThis v1.99.0
Scan saved at 16:46:00, on 07/01/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\pcarvajal\Mis Documentos\downloads\HJ\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = c:\winnt\system32\blank.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\winnt\system32\blank.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = c:\winnt\system32\blank.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = c:\winnt\system32\blank.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = c:\winnt\system32\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = proxy_eft2:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = https://;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: 166.110.95.199 elfos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PWSTray] PwsTray.exe
O4 - HKLM\..\Run: [aiepk] C:\pcarvajal\Mis Documentos\Software\w2k\aiepk2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [RealPopup] "C:\Archivos de programa\RealPopup\RealPopup.exe" BOOT
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: Corel Network monitor worker - {F9F676FE-2EF9-471B-B926-06455386F7F1} - C:\WINNT\system32\iegfxfrw.dll
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {F9F676FE-2EF9-471B-B926-06455386F7F1} - C:\WINNT\system32\iegfxfrw.dll
O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - C:\Archivos de programa\UnH Solutions\Flash Saving Plugin\FlashSButton.dll (HKCU)
O9 - Extra button: (no name) - {77B563A5-2A35-4E6B-BFC8-F4B6BB65D5DF} - C:\WINNT\system32\shdocvw.dll (HKCU)
O9 - Extra button: Corel Network monitor worker - {F9F676FE-2EF9-471B-B926-06455386F7F1} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {F9F676FE-2EF9-471B-B926-06455386F7F1} - (no file) (HKCU)
O16 - DPF: {3E410F8E-7EDC-4E91-B7A8-BFA00E3803D2} (EROL v 4.0.15) - http://www.e-rol.com/cabs/EROLProj1.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A805F68-A8E0-4073-B1A4-9EBEC88CCE0A}: Domain = finandes.cl
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A805F68-A8E0-4073-B1A4-9EBEC88CCE0A}: NameServer = 152.139.22.228,152.139.22.229
O23 - Service: Servicio de alerta - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Administración de aplicaciones - Unknown - C:\WINNT\system32\services.exe
O23 - Service: AVSync Manager - Unknown - C:\Archivos de programa\Network Associates\VirusScan\Avsynmgr.exe
O23 - Service: Examinador de equipos - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing)
O23 - Service: Cliente DHCP - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINNT\System32\dmadmin.exe
O23 - Service: Administrador de discos lógicos - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Cliente DNS - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Servicio de fax - Unknown - C:\WINNT\system32\faxsvc.exe
O23 - Service: Servicio de admin. IIS - Unknown - C:\WINNT\system32\inetsrv\inetinfo.exe
O23 - Service: Servidor - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Estación de trabajo - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Tivoli Endpoint - Unknown - C:\Archivos de programa\Tivoli\lcf\bin\w32-ix86\mrt\LCFD.EXE
O23 - Service: Servicio de ayuda TCP/IP NetBIOS - Unknown - C:\WINNT\System32\services.exe
O23 - Service: McShield - Unknown - C:\Archivos de programa\Archivos comunes\Network Associates\McShield\Mcshield.exe
O23 - Service: Messenger - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe
O23 - Service: DDE de red - Unknown - C:\WINNT\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINNT\system32\netdde.exe
O23 - Service: Inicio de sesión en red - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: Proveedor de asistencia de seguridad LM de Windows NT - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: Plug and Play - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Agente de directivas IPSEC - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: Almacenamiento protegido - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Administrador de cuentas de seguridad - Unknown - C:\WINNT\system32\lsass.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Programador de tareas - Unknown - C:\WINNT\system32\MSTask.exe
O23 - Service: Servicio RunAs - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINNT\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINNT\system32\tlntsvr.exe
O23 - Service: Cliente de seguimiento de vinculos distribuidos - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Administrador de utilidades - Unknown - C:\WINNT\System32\UtilMan.exe
O23 - Service: Horario de Windows - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Servicio de publicación en World Wide Web - Unknown - C:\WINNT\system32\inetsrv\inetinfo.exe
O23 - Service: Instrumental de administración de Windows - Unknown - C:\WINNT\System32\WBEM\WinMgmt.exe
O23 - Service: Exten. controlador Instrumental de admon. de Windows - Unknown - C:\WINNT\system32\Services.exe

olvidé mencioanr tambien que en la raiz del disco duro aparecen 3 archivos:
124788.exe (cuyo icono es la cara de una mujer), hooks.dll y inst.exe

como decian en el chapulin colorado...
y ahora quien podrá ayudarme?????? :S

Has probado con Spybot ?

he probado con la mayoria de anti spywares y troyanos que existen. Creo que la forma mas facil de poder eliminarlo es conociendo que archivos son los que estan alojados en mi pc para si poder eliminarlos manualmente. Desafortunadamente no se como poder hacer eso :(

hola wenassssss!!!!!!!! en lo que respecta al icono que te a salido en el escritorio
es un dialer asi que primer consejo si tienes moden llamar a telefonica y que te restringan todas las llamadas salientes a numeros de tarifa especial en 3 horas lo tendras activAdo

despues vete a panel de control -acceso telfonico a redes -y elimina todo acceso a redes que no sea el de tu provedor de internet


despues ponte encima del icono que as comentado -boton derecho .propiedades -ai te saldra la uvicacion -lo buscas con el buscador de windox y lo eliminas -si no puedes por que no te deje ,ya que puede estar en uso aces la misma operaciom aprueba de fallos y asi podras eliminarlo

prueba a pasarle el omniquak es un antispyware muy muy weno aunque poko conocido lo puedes bajar de softonic ya nos comentaras

mmm, no tengo acceso telefonico.. mi pc esta conectado a una LAN
el omniquad es un shareware que segun lei no elimina los troyanos.. solo los detecta, que provecho puedo sacarle?? :S

hola wenaas el omniquak si elimina los troyanos es un spyware como otro cualkiera (ad_aware,spybot ect)


as eho lo que te e comentando en el icono


SUERTE