Trojan Horse Dialer

Estado
Cerrado para nuevas respuestas

MARIO35

Nuevo Miembro
Miembro
#1
Felicitaciones por el foro que mantienen, es realmente muy bueno.

Hace algún tiempo tengo un problema con IE (versión 6), apenas lo abro para navegar se me introducen 2 troyanos que el AVG 7 free detecta y bloquea, y que tengo que desactivar en Ctrl-Alt-Supr para que avg pueda eliminarlos. El avg los identifica como Trojan Horse Dialer.12.AI cuyo archivo es ldr.exe y como Trojan Horse Dialer el archivo dl11.exe. Me da la impresión de que ambos son creados a partir de un archivo pceb.dat que se meteen la carpeta TEMP. Este es el path del avg:

C:\WINDOWS\TEMP\pceb.dat

C:\WINDOWS\TEMP\pceb.dat:\dl11.exe

C:\WINDOWS\TEMP\pceb.dat:\ldr.exe

Sólo se instalan en C:\ los archivos ldr.exe y dl11.exe

¿Porque y por donde se meten estos bichos? ¿Tiene que ver no haber hecho Windows update hace tiempo?

He optado por dejar de usar el IE, sólo uso un netscape antiguo (4)y de esa manera no se me meten estos bichos, pero el IE es imprescindible para acceder a ciertas páginas y me gustaría poder usarlo.

Les comento que tengo Ad Aware SE personal y Spybot Search&Destroy (ambos sin residentes pues son versiones gratuitas, pero los paso casi todos los días) y también CWShredder que me ha servido a veces.

Otra cosa, con el Sygate Personal Firewall he bloqueado unos procesos que requerían conexión a internet y que me parecían molestos como Kernell32, QMGR, Servidor de Mensajería de no sé qué, etc. y otros que no sé porqué pretendían transmitir información desde mi PC (quizás para Bill Gates). ¿Hay algún problema con que los haya bloqueado?

También Sygate me informa a veces de escaneos de puertos provenientes todos de la misma dirección, pero he escuchado que no hay peligro en eso.

Les dejo mi log a ver si me pueden ayudar, ustedes que saben:

Logfile of HijackThis v1.99.0

Scan saved at 11:44:47 a.m., on 20-01-05

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\ARCHIVOS DE PROGRAMA\SYGATE\SPF\SMC.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\COMPAQ\INTERNET\CISRVR.EXE

C:\WINDOWS\ptsnoop.exe

C:\CPQS\BWTOOLS\SCCENTER.EXE

C:\WINDOWS\SYSTEM\LVCOMS.EXE

C:\WINDOWS\LOADQM.EXE

C:\PROGRAM FILES\DU METER\DUMETER.EXE

C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG FREE\AVGCC.EXE

C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG FREE\AVGEMC.EXE

C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG FREE\AVGAMSVR.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\WINWORD.EXE

C:\WINDOWS\MSAGENT\AGENTSVR.EXE

C:\ARCHIVOS DE PROGRAMA\HIJACKTHIS\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirec...&s=search&i=esp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirec...&s=search&i=esp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirec...&s=search&i=esp

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://espanol.yahoo.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Archivos de programa\Netscape\Users\default\prefs.js)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [Compaq Internet Setup] C:\Compaq\Internet\InetWizard.exe /RUN

O4 - HKLM\..\Run: [CISrvr Program] C:\COMPAQ\INTERNET\CISRVR.EXE

O4 - HKLM\..\Run: [CountrySelection] pctptt.exe

O4 - HKLM\..\Run: [PTSNOOP] ptsnoop.exe

O4 - HKLM\..\Run: [Service Connection] c:\cpqs\bwtools\sccenter.exe

O4 - HKLM\..\Run: [LVComs] c:\windows\SYSTEM\LVComS.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\SYGATE\SPF\SMC.EXE -startgui

O4 - HKLM\..\Run: [DU Meter] C:\PROGRAM FILES\DU METER\DUMETER.EXE

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGEMC.EXE

O4 - HKLM\..\Run: [AVG7_AMSVR] C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [SmcService] C:\ARCHIVOS DE PROGRAMA\SYGATE\SPF\SMC.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Google Search - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html

O9 - Extra button: RealGuide - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll

O9 - Extra button: Corel Network monitor worker - {7E42FDE0-F298-11D8-9686-444553540000} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL

O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {7E42FDE0-F298-11D8-9686-444553540000} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL

O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - C:\WINDOWS\SYSTEM\REMOVE_ME.DLL (file missing)

O9 - Extra button: Corel Network monitor worker - {7E42FDE0-F298-11D8-9686-444553540000} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL (HKCU)

O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {7E42FDE0-F298-11D8-9686-444553540000} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL (HKCU)

O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - C:\WINDOWS\SYSTEM\REMOVE_ME.DLL (file missing) (HKCU)

O12 - Plugin for .mov: C:\ARCHIV~1\INTERN~1\PLUGINS\npqtplugin.dll

O12 - Plugin for .mid: C:\ARCHIV~1\INTERN~1\PLUGINS\npqtplugin.dll

O12 - Plugin for .wav: C:\ARCHIV~1\INTERN~1\PLUGINS\npqtplugin.dll

O12 - Plugin for .avi: C:\ARCHIV~1\INTERN~1\PLUGINS\npqtplugin.dll

O12 - Plugin for .bmp: C:\ARCHIV~1\INTERN~1\PLUGINS\npqtplugin.dll

O12 - Plugin for .spop: C:\ARCHIV~1\INTERN~1\Plugins\NPDocBox.dll

Ojalá puedan ayudarme. Un abrazo.
 

alnitak

Ex-Admin
Miembro
#2
En tu log no sale nada, por favor aclarame algúnas cosas.

Si existe en tu sistema un archivo: hooks.dll ?

Si existe en tu sistema algúna carpeta:

C:\Program Files\websiteviewer\

o

C:\Archivos de Programa\websiteviewer\

Abre el editor de registro:

inicio >> ejecutar >> regedit

Busca a ver si existe esta rama:

HKEY_CURRENT_USER/software/websiteviewer/

Un enlace util a un tema de otro foro sobre el mismo problema:

http://computercops.biz/postp340623.html

En el HJT revisa estas y dale a fix:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - C:\WINDOWS\SYSTEM\REMOVE_ME.DLL (file missing)

O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - C:\WINDOWS\SYSTEM\REMOVE_ME.DLL (file missing) (HKCU)

Otra pregunta, esas entradas 09 de Corel Network monitor worker te suenan conocidas de algo ?
 

MARIO35

Nuevo Miembro
Miembro
#3
Alnitak, agradezco mucho tu cooperación. No tengo en mi sistema el archivo hooks.dll ni la carpeta websiteviewer que mencionas, tampoco hay ninguna entrada con ese nombre en todo el registro. Lo que sí, es que en el buscador del registro puse hooks.dll y me salió la siguiente rama:

HKEY_CURRENT_USER/software/Microsoft/Windows/CurrentVersion/Explorer/Doc Find Spec MRU donde el valor "e" tiene la información "hooks.dll", ¿serán búsquedas anteriores o una puerta de entrada para estos bichos?

Entiendo bastante poco de informática en general así que esas entradas Corel Network Monitor worker no me suenan conocidas para nada.

Antes de molestarlos con esta consulta también había visto ese post de computercops, entendí bastante poco, pero me parece que la persona que preguntaba tenía varios problemas más (como ese "heretofind"), que yo algúna vez tuve pero que solucioné.

Gracias por tu paciencia.
 
A

Arwing

Guest
#4
Esa entrada del Doc Find es cuando realizaste una búsqueda en Windows con el buscador de archivos del propio Windows.

Como las entradas O9 son sólo opciones de un menú, no representan gran riesgo, pero puedes borrarlas si no sabes para qué son.

Si quieres publica otro log para revisarlo. ¿Ya no te sigue dando problemas?

Arwing
 

MARIO35

Nuevo Miembro
Miembro
#5
Amigos, muchas gracias por la ayuda. Fuí a propiedades del "intlmain.dll", el archivo asociado a Corel Network Monitor worker que está en system32 y aparece instalado en agosto del 2004, cosa que estoy 100% seguro que nunca hice, pero aparece con licencia microsoft windows, como si fuera legal.

Por otro lado, en Google puse "Corel Network Monitor worker" y llegué a unos foros en inglés donde aconsejan pegarle un hachazo con HJT a todas sus entradas. No sé si entendí mal pero parece ser un "descargador" (?) de troyanos.

http://www.bleepingcomputer.com/forums/topict7288.html

http://computercops.biz/postp415440.html

Todavía no le he pegado con el fix checked, así que mi log sigue igual ¿Aconsejan que elimine Corel Network Monitor worker? ¿Puede ser éste el agujero para los troyanos dialer dl11.exe y ldr.exe?

Por otro lado, ¿que piensan de bloquear conexión a internet a procesos como loadqm y kernell32?

Gracias de nuevo amigos.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie